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内 容 简 介 


本 书 以 信息 安全 技术 开发 实践 为 目标 导向 ,围绕 如 何 开发 相应 的 信息 安全 原型 系统 编写 , 书 中 详细 阐 
述 了 Linux 内 核 级 安全 、 网 络 防火 墙 \ 安 全 脆弱 性 检测 ,以 及 攻击 检测 这 四 类 典型 信息 安全 技术 的 实现 解 
析 和 开发 过 程 。 本 书 分 为 上 下 两 篇 ,上 篇 为 技术 解析 篇 ,重点 介绍 这 四 类 信息 安全 技术 的 基本 概念 和 原 
理 , 并 对 进行 相关 信息 安全 技术 开发 实践 所 需要 的 关键 方法 和 技术 措施 做 了 详细 的 探讨 ; 下 篇 为 开发 实践 
篇 ,以 实例 方式 阐述 如 何 实 现 信息 安全 技术 和 原型 系统 的 开发 实践 ,本 篇 共 十 章 , 每 章 阐述 一 个 信息 安全 
相关 原型 系统 的 具体 开发 过 程 。 

本 书 可 作为 高 等 院 校 信息 安全 、 计 算 机 科学 与 应 用 等 专业 的 高 年 级 本 科 生 或 研究 生 信息 安全 技术 开 
发 实践 或 课程 设计 的 教材 ,也 可 作为 相关 信息 安全 技术 原理 类 课程 的 参考 书 。 本 书 以 实例 的 形式 展示 了 
十 几 种 操作 系统 和 网 络 相 关 的 常用 开发 技术 ,本 书 也 适合 从 事 相 关 软 件 开发 的 工程 师 和 技术 人 员 参 阅 。 
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出 版 说 明 


图 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 .电子 银行 .电子 政务 以 及 多 方面 的 网 络 信 息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 \ 信 息 窃取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 , 在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 和 至、 知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 "等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


重点 大 学 信息 安全 专业 规划 系列 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 


前 言 


在 信息 安全 专业 的 课程 体系 中 ,信息 安全 技术 相关 的 开发 实践 是 非常 重要 的 环节 。 这 类 
开发 实践 不 仅 能 够 培养 学 生 的 动手 实践 能 力 , 激 发 对 学 习 和 钻研 信息 安全 技术 的 兴趣 
和 热情 ,还 能 在 很 大 程度 上 加 深 对 信息 安全 基本 原理 和 技术 的 理解 。 

编者 近年 来 负责 上 海 交通 大 学 信息 安全 专业 软件 课程 设计 的 教学 工作 ,该 课程 设 
计 旨 在 通过 进行 相应 的 信息 安全 技术 开发 实践 ,来 提高 与 信息 安全 相关 的 实践 动手 能 
力 , 从 而 加 深 对 信息 安全 技术 和 相应 信息 安全 工具 的 理解 和 掌握 。 在 课程 施 教 过 程 中 ， 
编者 发 现 目前 介绍 信息 安全 原理 和 技术 的 书籍 和 教材 很 多 ,涉及 信息 安全 技术 和 信息 
安全 工具 实现 过 程 的 书籍 或 教材 却 很 少 。 难 以 找到 一 本 合适 的 教材 或 参考 书 ,指导 学 
生 顺 利 完 成 某 类 信息 安全 工具 的 开发 ,也 不 能 在 较 短 时 间 内 搜集 到 进行 信息 安全 技术 
开发 实践 所 必 备 的 知识 。 为 了 提高 教学 质量 ,帮助 学 生 在 较 短 时 间 内 真正 人 手 并 顺利 
完成 有 关 的 信息 安全 技术 开发 实践 ,编者 在 综合 多 年 科研 及 教学 经 验 和 成 果 的 基础 上 
撰写 了 本 书 , 希 望 能 够 推动 和 促进 国内 信息 安全 专业 在 信息 安全 技术 开发 实践 上 的 本 
科教 育 和 课程 建设 。 

信息 安全 是 一 门 外 延 很 广 的 学 科 , 所 涉及 的 信息 安全 技术 众多 。 本 书 从 中 挑选 出 
具有 代表 性 且 经 常 涉及 到 的 四 类 信息 安全 技术 进行 实现 解析 和 开发 过 程 的 探讨 ,这 四 
类 信息 安全 技术 包括 : Linux 内 核 级 安全 技术 、 网 络 防 火 墙 技 术 、 安 全 脆弱 性 检测 技 
术 、 攻 击 检测 技术 。 

本 书 分 为 上 下 两 篇 ,上 篇 为 “技术 解析 篇 ”, 下 篇 为 “开发 实践 篇 "。“ 技 术 解析 篇 ” 重 
点 介绍 这 四 类 信息 安全 技术 的 基本 概念 和 原理 ,并 对 进行 相关 信息 安全 技术 开发 实践 
所 需要 的 关键 方法 和 技术 措施 进行 详细 的 探讨 。“ 技 术 解 析 篇 ?是 本 书 进行 相关 信息 安 
全 技术 开发 实践 的 基础 ,该 篇 内 容 与 其 他 介绍 信息 安全 技术 原理 的 书籍 明显 不 同 在 于 ， 
本 书 以 引导 读者 进行 相应 的 信息 安全 技术 开发 实践 为 目标 导向 ,围绕 如 何 开发 相应 的 
信息 安全 原型 系统 编写 。 

“技术 解析 篇 " 共 包 含 7 章 , 第 1 章 “Linux 内 核 级 安全 开发 基础 "和 第 2 章 “Linux 
内 核 级 安全 机 制 实现 解析 ”系统 性 地 闸 述 进行 Linux 内 核 级 安全 机 制 开 发 的 基本 原理 
和 技术 基础 。 第 3 章 “ 网 络 防火 墙 功能 与 结构 解析 ”、 第 4 章 “ 网 络 防火 墙 的 技术 类 型 ” 
及 第 5 章 “ 各 类 型 防火 墙 实现 解析 ”从 原理 、 技 术 到 实现 全 面 阐述 开发 实现 目前 主要 类 
型 网 络 防火 墙 所 需 的 各 种 知识 。 第 6 章 “ 系 统 脆 弱 性 检测 技术 及 实现 解析 ”对 安全 脆弱 
性 检测 的 作用 和 技术 分 类 进行 了 详细 的 介绍 ,重点 分 析 两 种 典型 的 脆弱 性 检测 技术 ( 即 
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端口 扫描 技术 和 弱 口 令 扫 描 技 术 ) 的 原理 及 实现 方法 。 第 7 章 * 入 侵 检测 技术 及 实现 解析 ” 
对 入 侵 检测 的 主要 技术 和 方法 、 入 侵 检 测 系 统 的 工作 原理 和 组 成 结构 ,以 及 入 侵 检 测 系统 的 
实现 技术 进行 详细 的 阐述 。 

“开发 实践 篇 ?以 实例 方式 阐述 如 何 实现 信息 安全 技术 和 原型 系统 的 开发 实践 ,本 篇 共 
包含 10 章 ,每 章 曾 述 一 个 信息 安全 相关 原型 系统 的 具体 开发 过 程 。 与 “技术 解析 篇 ”对 应 ， 
这 10 个 开发 实践 分 属于 “技术 解析 篇 ”介绍 的 4 类 信息 安全 技术 。“ 开 发 实践 篇 ”中 的 第 8 
章 “ 基 于 LSM 的 文件 访问 控制 原型 实现 ”和 第 9 章 “ 基 于 系统 调用 重 载 的 文件 访问 日 志 原 
型 实现 ”属于 Linux 内 核 级 安全 机 制 开发 类 。 第 10 章 “ 内 核 模 块 包 过 滤 防 火 墙 的 原型 实 
现 ”、 第 11 章 “ 基 于 队列 机 制 的 应 用 层 包 过 滤 防 火 墙 原型 实现 ”、 第 12 章 “ 应 用 代理 防火 墙 的 
原型 实现 ”和 第 13 章 “ 透 明代 理 防火 墙 的 原型 实现 ”属于 网 络 防火 墙 开 发 类 。 第 14 章 “ 端 口 
扫描 工具 的 原型 实现 ”和 第 15 章 “ 弱 口令 扫描 工具 的 原型 实现 ”属于 脆弱 性 检测 技术 开发 
类 。 第 16 章 “ 基 于 特征 串 匹配 的 攻击 检测 系统 原型 实现 ”以 及 第 17 章 “ 端 口 扫描 检测 系统 
的 原型 实现 ? 则 属于 入 侵 检测 系统 开发 类 。 本 书 中 所 有 原型 系统 (或 工具 ) 的 源 代 码 均 在 
Linux 操作 系统 中 调试 通过 ,涉及 到 内 核 模块 开发 的 原型 系统 对 Linux 内 核 版 本 有 特定 要 
求 ,在 Linux 系统 的 其 他 内 核 版 本 运行 时 需要 进行 相应 的 修改 ,对 此 有 明确 的 说 明 。 

为 突出 每 种 信息 安全 技术 和 原型 系统 实现 的 核心 技术 ,“ 开 发 实践 篇 ”中 的 每 个 开发 实 
践 过 程 都 具有 如 下 特点 : @ 全 部 采用 标准 的 C 语言 实现 ,不 进行 任何 类 库 的 封装 ,全 面 展示 
信息 安全 原型 系统 的 底层 核心 实现 技术 ; @ 开 发 实践 中 的 源 代码 都 经 过 针对 性 地 提炼 , 尽 
可 能 精简 读者 比较 熟悉 且 与 核心 技术 关系 不 太 密 切 的 部 分 ,如 所 有 的 原型 系统 全 部 采用 最 
简单 的 命令 行 界面 ; @ 每 个 开发 实践 的 C 语言 源 代码 控制 在 200 行 左右 ,同时 配 以 详尽 的 
注释 ,甚至 包括 函数 间 的 调用 关系 图 。 

“开发 实践 篇 "所 实现 的 每 个 信息 安全 原型 系统 “刻意 ”包含 最 原始 .最 基本 的 安全 功能 ， 
如 对 包 过 滤 防 火 墙 原型 系统 而 言 , 只 能 支持 一 条 包 过 滤 规 则 , 且 该 过 滤 规 则 只 涉及 源 IP 地 
址 和 目标 IP 地 址 。 这 一 方面 是 因为 本 书 旨 在 提高 读者 进行 信息 安全 开发 实践 的 动手 能 力 ， 
而 不 是 向 读者 展示 和 提供 一 个 功能 完善 的 信息 安全 系统 。 另 一 方面 ,希望 读者 以 本 书 的 原 
型 系统 为 基础 进行 相应 的 扩展 开发 实践 ,以 切实 提高 自己 的 动手 实践 能 力 ,为 此 本 书 特意 对 
在 原型 系统 上 所 能 进行 的 后 继 扩 展开 发 实践 进行 针对 性 阐述 ( 见 每 章 中 的 “扩展 开发 实践 ” 
部 分 ) ,以 引导 读者 在 这 些 原型 系统 的 基础 上 完成 相应 的 扩展 开发 实践 。 

本 书 首要 用 途 为 信息 安全 技术 开发 实践 或 课程 设计 的 教材 ,这 也 是 作者 撰写 本 书 的 初 
囊 。 任 课 教师 可 在 讲解 完 原型 系统 的 实现 后 ,让 学 生 在 原型 系统 的 基础 上 自行 进行 相关 的 
扩展 开发 实践 。 因 此 本 书 在 附录 A 中 对 所 有 的 扩展 开发 实践 题目 进行 了 汇总 ,以 方便 任课 
教师 组 织 学 生 选 择 他 们 感 兴趣 的 扩展 开发 实践 。 本 书 也 可 作为 信息 安全 原理 和 技术 相关 课 
程 的 参考 书 ,通过 研读 本 书 中 信息 安全 原型 系统 的 实现 技术 及 相关 源 代 码 ,可 加 深 学 生 对 信 
息 安 全 基本 技术 和 原理 的 理解 和 掌握 。 

在 阐述 信息 安全 技术 的 具体 开发 实践 过 程 中 ,本 书 以 实例 的 形式 向 读者 展示 了 十 几 种 
操作 系统 和 网 络 相关 的 常用 开发 技术 ,因此 本 书 也 适合 从 事 相 关 软 件 开发 的 工程 师 和 技术 
人 员 参 阅 。 这 些 开发 技术 主要 包括 Linux 的 内 核 模块 开发 .Linux 的 字符 设备 驱动 开发 、 
Linux 安全 模块 ( 即 LSM) 开 发 、Linux 的 系统 调用 重 载 .基于 Netlink 通信 的 编程 .基于 
Netfilter 机 制 截获 和 控制 IP 报 文 . 原 始 套 接 字 编 程 . 基 于 Libpcap 的 IP 报 文 获取 技术 、 基 


下 
叫 


5 


于 Libnet 的 底层 协议 报 文 组 装 技术 、 多 线程 编程 技术 、Web 代理 服务 器 实现 技术 以 及 透明 
代理 服务 器 实现 技术 等 。 

本 书 由 警 小 超 主持 编写 和 统 稿 ,李建华 教授 主 审 。 本 书 中 的 开发 实践 题目 和 章节 结构 
由 薛 质 教授 精 选 及 确定 ,此 小 超 负责 完成 第 1~5 章 、 第 8 一 13 章 的 编写 , 姚 立 红 负 责 完成 第 
6 一 7 章 、 第 14~17 章 的 编写 , 薛 质 、 蒋 兴 浩 潘 理 分 别 协助 完成 第 8 一 9 章 、 第 10 一 13 章 及 
第 14 一 15 章 的 编写 。 蒋 瑞 瑶 、 殖 汶 楷 .许可 同学 分 别 协助 进行 第 10 一 11 章 、 第 16 章 、 第 17 
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者 指导 的 各 类 科研 创新 项 目的 同学 。 另 外 ,个 别 原型 系统 的 实现 借鉴 信息 安全 论坛 一 些 开 
源 软件 的 技术 思路 ,在 此 一 并 致谢 。 
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本 篇 是 “开发 实践 篇 ”的 基础 篇 ,主要 从 实现 角度 来 解析 典型 的 信息 安全 技 
术 。 该 篇 共 包 含 如 下 7 章 内 容 , 详 细 阅 述 4 类 信息 安全 技术 ,分 别 对 应 “开发 实 
践 篇 ”中 相应 类 型 的 开发 实践 。 
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为 了 安全 性 以 及 使 用 方便 等 考虑 ,操作 系统 将 设备 ,文件 等 相关 资源 的 访问 统一 进行 管 
理 ,因而 应 用 程序 对 系统 中 很 多 重要 的 资源 (文件 、 网 络 数据 .设备 等 ) 不 能 直接 进行 访问 ,只 
能 借助 于 操作 系统 提供 的 服务 接口 (系统 调用 .API 等 ) ,应 用 程序 通过 调用 操作 系统 的 服务 
接口 来 完成 资源 访问 操作 。 

Linux 系统 在 接收 到 应 用 程序 的 资源 访问 服务 请 求 后 ,通常 并 不 会 无 约束 地 立即 为 应 
用 程序 完成 资源 访问 服务 ,而 是 先 要 进行 一 定 的 访问 控制 判断 ,然后 根据 判断 结果 再 决定 是 
提供 资源 访问 服务 还 是 拒绝 该 服务 。Linux 所 支持 的 资源 访问 控制 规则 都 是 在 操作 系统 设 
计 和 实现 中 预先 定义 好 的 ,如 对 文件 访问 时 , 按 文件 主 ` 组 用 户 、 其 他 用 户 3 类 访问 用 户 进行 
自主 式 的 访问 控制 。 这 种 访问 控制 机 制 能 够 满足 大 多 数 情况 下 的 安全 需求 ,然而 作为 实 
现 系 统 安全 的 基础 软件 ,在 一 些 情况 下 如 果 能 够 提供 特殊 的 访问 控制 , 则 能 在 很 大 程度 
上 提高 系统 的 安全 特性 ,如 从 操作 系统 层 限定 任何 情况 下 都 不 能 删除 (或 修改 ) 某 目录 下 
的 文件 等 。 

由 于 程序 的 资源 访问 都 需要 经 过 操作 系统 ,在 操作 系统 中 可 以 很 方便 地 进行 相应 的 资 
源 访问 监视 。Linux 作为 一 个 通用 的 操作 系统 ,考虑 到 其 效率 和 性 能 ,目前 Linux 内 核 只 是 
记录 了 启动 流程 .设备 异常 等 ,并 没有 对 每 个 资源 的 访问 进行 记录 。 而 对 一 些 具有 特定 安全 
需求 的 操作 系统 而 言 , 有 必要 对 其 上 所 和 运行 应 用 程序 的 资源 访问 进行 记录 。 

无 论 是 实现 系统 级 的 资源 访问 监控 ,还 是 实现 新 的 资源 访问 控制 方式 ,都 涉及 到 对 
Linux 操作 系统 的 修改 。Linux 操作 系统 作为 一 个 开源 软件 ,可 以 下 载 并 修改 其 源 代 码 , 从 
而 实现 所 需要 的 资源 访问 监视 和 资源 访问 控制 ,这 种 方式 实现 复杂 , 且 移 植 性 较 差 。 

所 幸 的 是 Linux 支持 动态 内 核 模块 机 制 ,可 以 将 资源 访问 监控 或 控制 实现 为 一 个 单独 
的 Linux 内 核 模块 。 在 Linux 系统 运行 的 时 候 , 只 要 将 新 编制 的 内 核 模块 动态 加 载 到 
Linux 系统 中 ,Linux 系统 就 能 支持 相应 的 资源 访问 监视 和 控制 功能 。 

进行 Linux 内 核 层 次 的 安全 技术 编程 和 开发 实践 ,需要 深入 了 解 Linux 操作 系统 的 体 
系 结构 ,以 及 Linux 内 核 模块 的 运行 原理 和 开发 方法 。 在 Linux 内 核 级 安全 机 制 开 发 中 ,内 
核 模块 实现 相应 的 安全 功能 后 ,使 用 者 (或 安全 管理 员 ) 通 常 要 通过 应 用 配置 程序 进行 安全 
功能 配置 ,应 用 配置 程序 如 何 将 配置 信息 传递 给 内 核 模块 是 一 个 需要 重点 考虑 的 关键 技术 。 
另外 ,作为 操作 系统 内 核 向 应 用 程序 提供 的 服务 接口 ,系统 调用 在 操作 系统 的 安全 机 制 实现 
中 占有 非常 重要 的 地 位 。 

鉴于 此 ,在 后 面 章节 具体 讨论 Linux 内 核 级 安全 技术 和 开发 实践 之 前 ,这 里 先行 介绍 与 
Linux 内 核 级 安全 开发 相关 的 概念 .原理 和 技术 .具体 包括 : 操作 系统 的 体系 结构 ,Linux 动 
态 内 核 模块 机 制 及 开发 方法 ,Linux 系统 调用 接口 的 原理 及 实现 ,以 及 应 用 程序 与 内 核 模块 
之 间 的 信息 交互 方式 。 


4 信息 安全 技术 解析 与 开发 实践 


1.1 操作 系统 体系 结构 概述 


操作 系统 作为 计算 机 的 系统 平台 软件 ,其 开发 和 研制 特点 与 一 般 的 应 用 程序 存在 明显 
的 区 别 。 首 先 ,操作 系统 的 软件 规模 大 ,复杂 度 高 . 且 运 行 效 率 要 求 高 。 其 次 ,操作 系统 负责 
管理 各 种 计算 机 硬件 ,并 且 生 命 周期 长 , 随 着 硬件 种 类 的 发 展 ,操作 系统 在 其 生命 周期 中 需 
要 不 断 地 对 其 进行 维护 ,以 扩充 新 的 功能 或 支持 新 的 硬件 。 

为 了 便于 开发 和 维护 操作 系统 ,需要 在 操作 系统 设计 之 初 采用 合理 的 软件 体系 结构 ,以 
提高 操作 系统 的 运行 效率 ,降低 开发 难度 ,并 提供 良好 的 可 维护 性 及 可 扩展 性 。 操 作 系统 从 
19 世纪 60 年 代 出 现 至 今 约 50 年 的 发 展 历程 中 ,出 现 了 多 种 的 操作 系统 体系 结构 ,其 中 单 
体式 结构 和 微 内 核 结构 是 最 有 影响 而 又 被 普遍 采用 的 操作 系统 体系 结构 。 


1.1.1 单 体式 结构 


单 体式 结构 (又 称 单 内 核 结构 ) 是 最 常用 的 操作 系统 体系 结构 。 具 有 单 体式 结构 的 操作 
系统 ,其 整个 系统 就 是 一 堆 过 程 的 集合 ,每 个 过 程 都 可 以 调用 任意 的 其 他 过 程 。 使 用 这 种 技 
术 时 ,系统 中 的 每 一 过 程 都 有 一 个 定义 完好 的 接口 , 即 过 程 的 入口 参数 和 返回 值 , 而 且 过 程 
之 间 的 调用 不 受 约束 。 

在 单 体式 系统 中 ,为 了 构造 最 终 的 操作 系统 目标 程序 ,开发 人 员 首 先 将 一 些 独立 的 过 程 
进行 编译 ,然后 用 链接 程序 将 其 链接 在 一 起 成 为 一 个 单独 的 目标 程序 。 从 信息 隐藏 的 观点 
看 , 它 没有 任何 程序 的 隐藏 一 一 每 个 过 程 都 对 其 他 过 程 可 见 。 单 体式 结构 具有 明显 的 优点 ， 
采用 单 体式 结构 的 系统 ,其 运行 效率 非常 高 。 然 而 , 单 体式 结构 也 存在 很 多 的 问题 ,很 多 优 
点 的 背后 也 恰好 隐藏 了 缺点 : 

。 从 系统 中 各 过 程 间 的 调用 许可 来 看 ,各 模块 (或 过 程 ) 间 没有 一 个 清晰 的 调用 关系 ， 
各 模块 间 能 随意 调用 。 因 此 它们 之 间 形 成 了 非常 复杂 的 调用 关系 ,互相 依赖 且 毫 无 
次 序 。 这 样 一 种 复杂 的 调用 ,使 得 模块 间 的 关系 扑朔迷离 ,难以 理解 ,系统 的 正确 性 
难以 保证 。 另 外 ,模块 间 关系 紧密 , 某 一 模块 的 错误 会 造成 很 大 的 影响 面 ,因此 系统 
中 的 错误 在 一 个 模块 表现 出 来 ,但 其 根源 可 能 在 别 的 模块 ,难以 查找 和 消除 。 
系统 不 便于 维护 和 扩充 。 由 于 模块 间 的 关系 密切 ,因此 某 一 模块 功能 的 变更 或 扩 
充 , 都 将 可 能 引起 接口 的 改变 ,而 接口 的 改变 又 会 影响 到 与 此 有 关 的 各 模块 的 变动 ， 
这 种 牵 一 发 而 动 全 身 的 态势 ,会 给 系统 的 扩充 、 移 植 等 工作 带 来 诸多 麻烦 。 
系统 运行 时 宛 余 模 块 占用 系统 资源 。 由 于 具有 单 体式 结构 的 操作 系统 以 一 个 单独 
的 目标 程序 存在 ,该 程序 中 需要 包含 多 种 实用 场景 和 硬件 配置 下 的 功能 模块 。 在 具 
体 硬件 上 运行 时 ,很 多 功能 模块 都 是 元 余 的 ,这 些 宛 余 模块 占用 了 系统 资源 ,降低 了 
系统 运行 的 效率 ,同时 对 系统 运行 的 稳定 性 也 存在 负面 的 影响 。 

单 体式 结构 是 一 种 出 现 较 早 且 比较 流行 的 操作 系统 体系 结构 ,包括 各 版 本 的 UNIX、 
Linux 等 操作 系统 都 采用 这 种 体系 结构 。 显 然 ,在 采用 单 体式 结构 开发 实际 的 操作 系统 时 ， 
尽管 从 技术 角度 允许 各 模块 之 间 任 意 调用 ,研制 者 都 会 自觉 地 清晰 定义 每 个 模块 的 功能 ,以 
及 它们 之 间 的 逻辑 关系 ,尽量 使 得 模块 之 间 不 随意 调用 ,以 尽 可 能 地 保证 操作 系统 的 正确 性 
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和 可 维护 性 等 。 
1.1.2 微 内 核 结 构 


近来 微 内 核 的 概念 得 到 了 广泛 的 关注 。 尽 管 不 同 的 操作 系统 开发 者 对 微 内 核 有 着 不 同 
的 解释 , 微 内 核 可 以 看 作 是 一 个 小 型 的 操作 系统 内 核 , 它 为 操作 系统 的 扩展 提供 了 基于 模块 
扩充 的 基础 。 

微 内 核 的 基本 思想 是 : 内 核 中 仅 存 放 那 些 最 基本 的 内 核 操作 系统 功能 ,其 他 服务 和 应 
用 则 建立 在 微 内 核 之 外 ,在 用 户 模式 下 运行 。 尽管 哪些 功能 应 该 放 在 内 核 内 实现 ,哪些 服务 
应 该 放 在 内 核 外 实现 ,在 不 同 的 操作 系统 设计 中 未 必 一 样 ,但 事实 上 过 去 在 操作 系统 内 核 中 
的 许多 服务 ,现在 已 经 成 为 与 内 核 交互 或 相互 间 交 互 的 外 部 子 系统 ,这 些 服务 主要 包括 设备 
驱动 程序 文件 系统 、 虚 拟 内 存 管理 器 、 窗 口 系统 和 安全 服务 等 。 

微 内 核 的 流行 是 由 于 Mach 操作 系统 成 功 地 应 用 了 该 技术 ,这 种 技术 提供 了 高 度 的 灵 
活性 和 模块 化 。Windows NT 是 另 一 个 成 功 使 用 微 内 核 技 术 的 操作 系统 ,除了 模块 化 之 外 ， 
还 取得 了 很 好 的 可 移植 性 。Windows NT 的 微 内 核 包括 一 组 紧凑 的 子 系统 ,基于 此 在 各 种 
平台 实现 Windows NT 操作 系统 就 变 得 十 分 容易 。 

微 内 核 结构 的 优点 主要 有 如 下 几 个 方面 : 

。 交互 接口 的 一 致 性 。 微 内 核 结构 对 进程 的 请 求 提 供 了 一 致 性 接口 ,进程 不 必 区 别 是 
内 核 级 服务 还 是 用 户 级 服务 ,因为 所 有 这 些 服务 均 借助 消息 传送 机 制 提 供 。 

可 扩充 性 。 在 实际 使 用 过 程 中 ,操作 系统 需要 增加 目前 设计 中 没有 的 功能 特性 ,如 
支持 新 硬件 设备 和 新 软件 技术 等 。 微 内 核 结 构 具 有 可 扩充 性 , 它 允 许 增加 新 服务 ， 
以 及 在 相同 功能 范围 中 提供 多 种 可 选 服务 ,服务 的 增加 、 修 改 和 选择 并 不 需要 建立 
一 个 新 的 内 核 。 

可 移植 性 。 随 着 各 种 各 样 硬件 平台 的 出 现 , 可 移植 性 成 为 操作 系统 极 具 吸引 力 的 一 
个 特性 。 在 微 内 核 结构 中 ,所 有 与 特定 CPU 有 关 的 代码 均 在 内 核 中 ,因而 把 系统 移 
植 到 一 个 新 CPU 上 所 需 的 修改 较 少 。 

微 内 核 的 一 个 潜在 缺点 是 性 能 问题 , 微 内 核 中 的 服务 以 消息 传送 机 制 提供 ,而 建立 消息 
和 发 送 消息 都 需要 花费 一 定 的 时 间 代价 , 同 直接 调用 单个 服务 相 比 ,接收 消息 和 生成 回答 都 
要 多 花费 时 间 。 


1.2 Linux 的 动态 内 核 模块 机 制 


1.2.1 动态 内 核 模块 机 制 概述 


Linux 内 核 是 一 种 单 体式 结构 的 内 核 , 即 整个 系统 是 单一 的 大 程序 ,内 核 中 所 有 的 功能 
部 件 都 可 以 对 其 全 部 的 内 部 数据 结构 和 过 程 进 行 访 问 。 单 内 核 结 构 的 一 个 显著 问题 在 于 系 
统 功能 的 扩展 性 不 好 ,因而 在 设计 之 初 可 能 会 实现 较 多 的 元 余 功能 ,这 些 元 余 功能 的 存在 会 
影响 到 操作 系统 的 运行 效率 和 系统 稳定 性 。 

Linux 为 了 克服 单 内核 结 构 的 缺点 ,在 采用 系统 模块 化 设计 的 同时 ,引入 了 支持 内 核 模 
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块 动态 加 载 机制 ,通过 内 核 模块 的 扩展 和 动态 加 载 实现 操作 系统 功能 的 扩充 。 在 一 些 内 核 
模块 不 再 使 用 时 可 以 印 载 该 模块 ,以 保证 操作 系统 的 运行 效率 和 系统 稳定 性 。 

在 这 种 机 制 下 ,Linux 内 核 由 基本 内 核 和 一 系列 内 核 模块 组 成 ,基本 内 核 中 实现 了 操作 
系统 的 基本 功能 ,每 个 内 核 模块 实现 单一 的 、 可 选 的 操作 系统 功能 。 系 统 启动 时 ,首先 加 载 
基本 内 核 ,启动 完成 后 ,Linux 系统 可 以 让 用 户 按照 需要 动态 地 加 载 操作 系统 内 核 模块 , 当 
不 再 需要 它们 时 ,又 可 以 将 它们 从 内 核 中 外 载 。 

Linux 内 核 模块 一 旦 被 加 载 , 则 它们 和 普通 内 核 代码 一 样 都 是 内 核 的 一 部 分 ,具有 与 其 
他 内 核 代码 相同 的 权限 与 职责 ,因此 Linux 内 核 模块 中 的 错误 可 能 会 导致 内 核 朋 演 。 为 保 
证 内 核 模块 的 正确 运行 ,内 核 模块 应 与 所 运行 内 核 在 接口 约定 上 保持 一 致 ,否则 内 核 模块 中 
调用 其 他 内 核 过 程 时 可 能 会 发 生 错 误 。 因 此 内 核 使 用 严格 的 版 本 控制 来 对 所 加 载 的 模块 进 
行 检 查 , 以 防止 这 种 情况 的 发 生 。 

动态 可 加 载 内 核 模块 机 制 的 好 处 在 于 让 内 核 保 持 很 小 的 尺寸 ,同时 又 非常 灵活 。 比 如 
在 系统 实际 和 运行 时 ,只 是 偶尔 使 用 VFAT 文件 系统 ,所 以 将 VFAT 文件 系统 实现 为 一 个 独 
立 的 内 核 模块 。 当 mount( 挂 装 )VFAT 分 区 时 自动 加 载 该 内 核 模块 。 当 印 载 VFAT 分 区 
时 ,系统 将 检测 到 不 再 需要 VFAT 文件 系统 模块 ,从 而 将 它 从 系统 中 印 载 。 此 外 ,动态 内 核 
模块 机 制 下 ,可 以 不 通过 重 构 内 核 并 频繁 重新 启动 的 方式 来 尝试 运行 新 内 核 代码 ,便于 新 设 
备 驱 动 程序 的 编写 和 调试 。 


1.2.2 Linux 内 核 模 块 的 加 载 和 外 载 


内 核 模块 的 加 载 方 式 有 两 种 ,一 种 是 使 用 insmod 命令 手工 加 载 模块 ,另外 一 种 则 是 在 
需要 时 加 载 模块 , 即 请 求 加 载 。 当 内 核发 现 有 必要 加 载 某 个 内 核 模块 时 ,如 用 户 挂 装 了 内 核 
中 不 支持 的 文件 系统 时 ,内 核 将 请 求 内 核 后 台 进 程 (kerneld) 加 载 适 当 的 模块 。 该 内 核 后 台 
进程 仅仅 是 一 个 带 有 超级 用 户 权限 的 系统 进程 , 当 系 统 启动 时 它 也 被 启动 ,并 为 内 核 打 开 一 
个 进程 间 通信 (IPC) 通 道 , 系 统 需要 执行 相应 任务 时 ,利用 该 通道 向 kerneld 发 送 消 息 。 

利用 insmod 命令 加 载 内 核 模块 时 ,insmod 程序 必须 找到 要 求 加 载 的 内 核 模 块 文件 ,请 
求 加 载 的 内 核 模块 一 般 被 保存 在 目录 /lib/modules/2. 6. 18( 假 定 内 核 版 本 为 2. 6. 18) 中 。 
这 些 内 核 模块 和 系统 中 可 执行 程序 一 样 是 已 链接 的 目标 文件 ,但 是 它们 被 链接 成 可 重 定位 
映像 , 即 映像 没有 被 链接 到 在 特定 地 址 上 运行 。 

新 编写 的 内 核 模块 中 可 以 使 用 基本 内 核 或 者 其 他 内 核 模 块 中 定义 的 资源 ,如 数据 结构 
和 函数 等 ,也 可 以 输出 在 本 模块 中 定义 的 资源 。 所 有 能 够 被 内 核 模 块 使 用 的 资源 ,包括 基本 
内 核 中 定义 的 资源 和 新 加 载 模块 中 定义 的 资源 ,被 操作 系统 以 内 核 输出 符号 表 的 形式 统一 
管理 。 

在 内 核 模块 加 载 过 程 中 ,首先 要 在 内 核 输 出 符号 表 中 找到 本 模块 用 到 的 外 部 符号 ,如 果 
有 找 不 到 定义 的 外 部 符号 ,或 者 找到 外 部 符号 但 与 所 定义 的 类 型 不 一 致 ,系统 则 拒绝 加 载 该 
模块 ,并 提示 用 户 加 载 错误 。 一 旦 内 核 模块 加 载 成 功 , 系 统 会 将 本 模块 输出 的 符号 添加 到 内 
核 输 出 符号 表 中 , 供 以 后 加 载 的 内 核 模 块 使 用 。 如 果 一 个 内 核 模块 ( 记 作 模 块 A) 中 输出 的 
符号 被 后 加 载 的 内 核 模块 ( 记 作 模块 B) 使 用 ,相当 于 模块 B 依赖 模块 A, 或 者 说 模块 A 被 
模块 B 引 用 。 

当 一 个 新 模块 加 载 到 内 核 过 程 中 ,内核 在 检查 该 模块 所 使 用 的 外 部 符号 时 ,会 增加 定义 
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这 些 外 部 符号 的 模块 的 引用 记 数 。 可 以 通过 使 用 ksyms 工具 或 者 查看 /proc/ksyms 来 查看 
系统 当前 内 核 输 出 符号 表 中 的 内 容 。lsmod 命令 可 以 列 出 系统 中 所 有 已 加 载 的 内 核 模块 以 
及 模块 的 引用 计数 。 

系统 中 已 加 载 的 内 核 模 块 可 以 通过 使 用 rmmod 命令 来 印 载 , 如 果 要 印 载 的 内 核 模 块 正 
在 被 其 他 模块 引用 ,Linux 系统 则 会 拒绝 外 载 该 模块 ,否则 该 模块 被 卸载 后 ,其 他 模块 仍 在 
引用 该 模块 中 定义 的 符号 ,就 会 导致 系统 崩溃 。 一 旦 内 核 模块 被 成 功 卸 载 ,Linux 不 但 会 从 
内 核 输出 符号 表 中 删除 在 该 模块 中 定义 的 外 部 符号 ,而 且 会 检查 该 模块 曾 引 用 过 的 外 部 符 
号 ,将 定义 这 些 外 部 符号 的 模块 的 引用 记 数 减 1 。 

除 手 工 印 载 内 核 模块 外 ,Linux 还 支持 内 核 模块 的 自动 印 载 , 如 果 模 块 正在 被 引用 时 不 
能 被 自动 印 载 ,只 有 在 已 加 载 模块 的 引用 记 数 为 0 时 , 才 自 动 从 系统 中 务 载 该 模块 。 内 核 模 
块 的 自动 外 载 工作 由 内 核 后 台 进 程 kerneld 完成 ,kerneld 在 相应 定时 器 每 次 到 期 时 执行 检 
查 , 将 不 再 使 用 的 已 加 载 模块 从 系统 中 印 载 。 


1.3 Linux 内 核 模块 开发 方法 


无 论 是 在 编译 和 运行 方式 上 ,还 是 在 函数 组 成 上 ,内 核 模 块 的 开发 与 很 多 经 常 接触 
到 的 应 用 程序 开发 存在 本 质 性 的 区 别 。 下 面 分 别 从 四 个 方面 , 即 源 代码 组 成 ,外 部 符号 
(函数 ,变量 等 ) 引 用 ,编译 和 运行 模式 、 调 试 和 信息 输出 ,来 详细 曾 述 Linux 内 核 模块 的 开 
发 方法 。 


1.3.1 源 代码 组 成 


Linux 动态 内 核 模块 一 般 需 要 包含 三 个 部 分 : 一 是 模块 初始 化 部 分 ,主要 用 于 该 模块 
的 注册 、 各 种 数据 和 变量 的 初始 化 等 ,该 部 分 以 初始 化 函数 的 形式 存在 ,在 模块 加 载 到 内 核 
运行 时 ,系统 会 自动 调用 该 函数 完成 该 模块 的 初始 化 ; 二 是 模块 的 注销 部 分 ,主要 完成 各 种 
资源 的 释放 等 ,该 部 分 以 注销 函数 的 形式 出 现 , 在 模块 从 Linux 内 核 印 载 时 ,系统 自动 调用 
该 函数 ,完成 该 模块 的 注销 工作 ; 三 是 模块 的 主体 功能 部 分 ,用 于 实现 该 模块 的 具体 功能 ， 
该 部 分 通常 以 一 组 函数 的 形式 存在 ,该 部 分 的 函数 一 般 不 会 自动 运行 ,在 需要 的 时 候 由 用 户 
通过 系统 调用 或 其 他 的 功能 模块 调用 。 

一 般 而 言 ,在 实现 内 核 模块 时 需要 分 别 实现 上 述 三 个 部 分 ,进行 相关 实验 的 代码 编制 时 
不 能 遗忘 任何 一 个 部 分 。 在 用 C 语言 编写 应 用 程序 时 ,main 函数 是 必 不 可 少 的 ,main 函数 
相当 于 应 用 程序 的 执行 人口 ,缺少 了 main 函数 ,应 用 程序 的 源 代码 就 无 法 编译 成 可 执行 的 
目标 程序 。 而 对 于 内 核 模块 编程 而 言 ,无 需 实现 main 函数 ,这 一 点 要 特别 注意 。 


1.3.2 外 部 符号 引用 


应 用 程序 的 开发 通常 需要 调用 一 些 外 部 的 资源 ,如 库 函 数 、 系 统 调用 等 ,以 实现 较为 复 
杂 的 程序 功能 ,如 输出 一 条 信息 到 屏幕 上 、 显 示 一 个 对 话 框 等 。 同 样 Linux 的 内 核 模块 编程 
也 经 常 需要 使 用 外 部 资源 :不同 的 是 应 用 程序 中 使 用 的 外 部 资源 是 库 函 数 或 者 系统 调用 ,而 
对 内 核 模块 而 言 ,要 使 用 的 外 部 资源 是 在 Linux 基本 内 核 或 其 他 内 核 模块 中 定义 的 资源 ( 函 
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数 、 全 局 变量 等 ) 等 ,如 模块 需要 调用 内 核 内 存 分 配 函 数 kmalloc() 来 分 配 内 存 等 。 

正如 在 应 用 程序 编程 时 需要 了 解 所 用 库 函 数 、 系 统 调 用 的 功能 及 其 使 用 方式 ,内 核 模块 
编程 中 的 一 项 重要 工作 是 了 解 哪些 外 部 函数 (或 全 局 变量 ) 可 以 用 来 实现 本 模块 功能 ,以 及 
这 些 外 部 函数 (或 全 局 变量 ) 的 具体 使 用 方式 。 在 Linux 系统 运行 中 ,ksyms 工具 可 以 列 出 
当前 系统 所 能 使 用 的 所 有 外 部 符号 (函数 .全 局 变量 等 ) ,进行 内 核 模块 开发 时 可 以 从 中 选取 
要 使 用 的 外 部 符号 。 

与 应 用 程序 编程 所 使 用 的 库 函 数 不 同 ,基本 内 核 或 其 他 内 核 模 块 中 定义 的 外 部 符号 ( 简 
称 为 内 核 符号 ) 缺 乏 相应 的 使 用 文档 。 比 如 Linux 中 可 以 通过 man( 或 info) 命 令 列 出 一 个 
库 函 数 详细 的 使 用 文档 ,包括 函数 名 、 函 数 功 能 、 返 回 值 类 型 .参数 个 数 ,以 及 每 个 参数 的 类 型 
等 。 而 Linux 中 的 内 核 符 号 没有 详细 的 使 用 文档 ,这 给 内 核 模块 开发 人 员 造 成 了 很 大 困难 。 

通常 可 通过 以 下 途径 获得 内 核 符号 的 引用 方式 : 一 是 找到 功能 类 似 的 开源 内 核 模块 的 
实现 代码 ,参考 其 中 内 核 符号 的 引用 方式 ; 二 是 以 符号 名 为 关键 字 , 通 过 搜索 引擎 在 
Internet 上 查找 该 符号 的 使 用 方式 ; 三 是 查询 和 浏览 Linux 操作 系统 的 内 核 源 代 码 ,直接 阅 
读 相关 函数 和 变量 的 声明 和 定义 。 

由 于 内 核 符号 的 定义 在 Linux 各 个 内 核 版 本 间 不 尽 相同 ,因此 从 网 上 查 到 的 或 者 从 其 
他 开源 软件 中 看 到 的 内 核 符号 使 用 方法 ,在 用 于 自己 的 内 核 模 块 开发 ,编译 或 运行 时 出 现 问 
题 也 是 很 正常 的 ,这 时 候 需 要 参考 内 核 源 代码 ,以 确认 内 核 符号 的 正确 用 法 ,内 核 模块 编程 
人 员 可 在 手边 经 常 放置 内 核 源 代 码 以 方便 查阅 。 


1.3.3 编译 和 运行 模式 


对 x86 系列 的 处 理 器 而 言 ,存在 4 种 运行 模式 ,每 种 模式 对 应 不 同 的 执行 权限 级 别 , 按 
执行 权限 级 别 从 大 到 小 的 次 序 依 次 为 0、1、2、3, 由 于 这 些 级 别 的 执行 权限 像 同心 圆 一 样 存 
在 严格 的 包含 关系 ,这 些 执行 权限 级 别 常 被 人 称 为 运行 环 , 即 0 环 至 3 环 共 4 个 环 。 当 
CPU 运行 于 0 环 时 具有 最 高 的 权限 ,能 够 执行 所 有 的 指令 和 特权 操作 ,如 访问 控制 寄存 器 
等 ,运行 于 3 环 时 则 权限 最 低 , 无 法 执行 任何 特权 指令 ,也 无 法 访问 硬件 。 在 这 些 运 行 环 中 ， 
通常 只 用 到 两 个 环 , 即 0 环 和 3 环 ,并 将 CPU 运行 在 0 环 时 称 为 CPU 处 于 特权 态 ,而 将 
CPU 运行 在 3 环 时 称 为 CPU 处 于 非特 权 态 。 

当代 的 操作 系统 (包含 Linux) 在 设计 时 密切 配合 了 处 理 器 的 不 同 运行 模式 ,让 操作 系 
统 的 内 核 代 码 运 行 在 特权 态 ,特权 态 又 称 管 态 、 系 统 态 或 内 核 态 ,而 让 运行 在 操作 系统 之 上 
的 应 用 程序 代码 运行 在 非特 权 态 ,该 态 一 般 又 称 为 目标 态 或 用 户 态 。 

CPU 在 不 同 模式 运行 时 ,其 指令 权限 、 内 存 地 址 解析 方式 等 都 存在 本 质 区 别 。CPU 运 
行 在 系统 态 时 ,能 够 执行 所 有 的 系统 指令 ,如 开 中 断 、 关 中 断 指 令 等 ,在 寻 址 方式 上 采用 实地 
址 模式 。CPU 运行 在 用 户 态 时 ,指令 集中 有 一 部 分 指令 , 即 特 权 指 令 , 不 能 被 执行 ,如 果 所 
执行 的 应 用 程序 代码 中 包含 特权 指令 ,CPU 运行 时 将 会 出 错 , 此 外 CPU 在 解析 程序 代码 的 
指令 地 址 和 数据 地 址 时 采用 虚 地 址 方式 。 换 言 之 ,运行 在 不 同 CPU 模式 下 的 程序 代码 特 
性 也 存在 不 同 ,一 段 拟 在 用 户 态 运行 的 代码 ,将 其 在 系统 态 运行 会 出 错 。 内 核 模 块 的 代码 在 
加 载 到 系统 内 核 后 ,将 在 CPU 的 系统 态 下 执行 。 

从 源 程序 的 角度 来 看 ,系统 态 下 的 程序 和 用 户 态 下 的 程序 并 没有 本 质 的 区 别 , 只 不 过 编 
译 器 会 根据 程序 员 的 不 同 要 求 , 生 成 适合 系统 态 运行 的 目标 代码 ,或 生成 适合 在 用 户 态 运行 
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的 目标 代码 。 

编制 好 内 核 模块 对 应 的 源 程序 后 ,在 将 源 程 序 编译 成 目标 代码 模块 * .ol 或 * .ko) 文 
件 时 ,要 告知 编译 器 需要 编译 的 是 内 核 模块 的 代码 。 具 体 方式 是 在 gcc 或 cc 选项 中 添加 
D_MODULE, 这 样 就 能 生成 适合 在 系统 态 运 行 的 Linux 内 核 模 块 。 在 2. 6 内 核 版 本 的 
Linux 下 ,内核 模块 编译 涉及 到 很 多 的 编译 选项 和 预定 义 ,Linux 内 核 提供 了 编译 内 核 模块 
的 工程 文件 模版 ,利用 该 模版 ( 见 8. 4 节 ) 和 make 工具 可 方便 地 编译 出 内 核 模块 。 


1.3.4 调试 和 信息 输出 


在 内 核 进行 代码 调试 时 ,也 可 以 借助 相应 的 调试 工具 。 目 前 看 到 的 内 核 调试 工具 主要 
是 KDB, 是 由 SGI 公司 开 发 的 遵循 通用 公共 授权 (General Public License,GPL) 的 开放 源 
码 调试 工具 。 官 方 发 布 的 Linux 内 核 并 不 包含 KDB,KDB 以 内 核 源 程序 补丁 的 形式 存在 ， 
通过 修改 内 核 源 程序 将 调试 器 的 源 代 码 嵌 入 到 内 核 中 ,从 而 提供 方便 的 调试 手段 。 因 此 要 
使 用 KDB 进行 调试 ,需要 重新 编译 内 核 ,使 编译 后 的 内 核 中 包含 KDB 的 调试 器 代码 。 显 
然 Linux 内 核 中 代码 调试 要 比 一 般 的 应 用 程序 的 调试 更 加 复杂 , 因 其 涉及 到 硬件 方面 的 信 
息 , 需 要 对 硬件 ,尤其 是 CPU 的 寄存 器 结构 等 有 一 定 的 了 解 。 另 外 Linux 的 并 发 机 制 也 会 
给 内 核 的 代码 调试 带 来 一 定 的 困难 。 需 要 的 话 可 尝试 使 用 KDB 帮助 自己 进行 内 核 代码 调 
试 工作 。 

多 数 程 序 页 都 有 过 不 利用 调试 工具 完成 应 用 程序 调试 的 实际 经 历 ,最 常见 的 是 在 源 代 
码 中 添加 一 些 信息 输出 语句 ,来 观察 程序 的 具体 执行 过 程 以 及 某 变量 在 特定 运行 时 刻 的 值 ， 
如 在 C 语言 编制 的 应 用 程序 中 ,可 以 调用 基本 1/O 库 中 的 各 种 库 函 数 ,如 printf 等 ,将 信息 
输出 到 console 控制 台 上 。 

在 内 核 模块 的 调试 过 程 中 ,也 可 以 采用 类 似 的 调试 技术 。 不 过 这 些 基 本 1/O 库 中 的 库 
函数 只 能 被 应 用 程序 所 调用 ,鉴于 应 用 层 和 内 核 层 运行 机 制 的 区 别 ,这 些 函 数 不 能 被 处 于 内 
核 层 的 操作 系统 模块 调用 。 在 Linux 基本 内 核 中 ,定义 了 一 个 格式 化 输出 的 全 局 函数 
printk( 〇 ,内核 模 块 可 以 调用 该 函数 将 获得 的 进程 信息 输出 到 控制 台 或 日 志文 件 中 。 该 函 
数 在 头 文件 include/linux/printk. h 中 声明 ,调用 该 函数 前 ,需要 先 将 该 头 文件 包含 到 实现 
内 核 模块 的 源 文件 中 。 


1.4 Linux 系统 调用 概述 


作为 操作 系统 中 最 为 重要 的 概念 ,系统 调用 在 Linux 操作 系统 安全 中 占有 非常 重要 的 
位 置 ,理解 系 统 调用 的 原理 和 实现 过 程 对 理解 Linux 操作 系统 安全 ,以 及 进行 相应 的 安全 机 
制 开 发 具有 重要 作用 。 


1.4.1 系统 调用 与 系统 安全 


在 当代 计算 机 体系 结构 中 ,操作 系统 内 核 运行 在 系统 态 ,应 用 程序 运行 在 用 户 态 , 从 
CPU 的 执行 机 制 来 看 ,运行 在 用 户 态 的 应 用 程序 其 权限 是 受到 限制 的 ,不 能 执行 特权 指令 ， 
不 能 直接 对 硬件 进行 操作 。 这 种 计算 机 体系 结构 有 利于 保证 操作 系统 的 安全 性 ,实现 了 计 
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算 机 系统 运行 的 稳定 性 和 安全 性 ,因为 应 用 程序 的 可 靠 性 和 安全 性 通常 比较 低 ,如 果 任 由 应 
用 程序 执行 特权 指令 或 访问 硬件 ,很 容易 导致 计算 机 系统 崩溃 。 回 顾 CPU 8086 时 代 , 无 用 
户 态 和 系统 态 之 分 ,其 上 的 DOS 操作 系统 和 应 用 程序 具有 相同 的 执行 权限 ,应 用 程序 可 以 
任意 破坏 系统 。 

禁止 应 用 程序 执行 特权 指令 和 访问 硬件 保证 了 系统 的 安全 性 ,但 这 同时 带 来 了 另外 一 
个 问题 ,在 很 多 时 候 应 用 程序 为 了 应 用 任务 ,需要 执行 相应 的 特权 操作 或 硬件 访问 操作 ,如 
应 用 程序 需要 访问 磁盘 来 保存 自己 的 计算 数据 ,这 样 仅 靠 应 用 程序 自身 的 代码 功能 就 无 法 
完成 该 应 用 任务 。 

解决 上 述 问 题 的 思路 是 ,操作 系统 为 应 用 程序 提供 相应 的 服务 ,应 用 程序 利用 操作 系统 
提供 的 服务 来 间接 完成 所 需要 的 特权 操作 或 硬件 访问 操作 ,操作 系统 在 提供 服务 前 进行 相 
应 的 安全 控制 检查 ,检查 通过 后 提供 相应 的 特权 操作 或 硬件 访问 操作 。 这 样 既 保 证 了 系统 
的 安全 性 ,又 满足 了 应 用 程序 访问 系统 资源 的 需求 。 

因此 作为 应 用 程序 运行 平台 的 支撑 软件 ,操作 系统 除 管理 和 协调 应 用 程序 的 运行 外 ,其 
另 一 项 重要 任务 是 为 应 用 程序 的 运行 提供 各 种 操作 系统 服务 。 应 用 程序 要 访问 硬件 资源 或 
完成 某 特权 操作 ,只 要 调用 相应 的 操作 系统 服务 即 可 , 即 通 常 所 说 的 系统 调用 过 程 ,每 一 种 
类 型 的 服务 被 称 之 为 一 个 系统 调用 。 


1.4.2 系统 调用 的 服务 功能 


在 当代 操作 系统 (如 Linux) 中 ,操作 系统 的 服务 是 以 系统 调用 接口 的 形式 存在 的 。 随 
着 计算 机 技术 的 发 展 ,系统 调用 的 功能 早已 超出 了 代理 应 用 程序 执行 特权 操作 和 硬件 访问 
操作 的 范畴 ,目前 操作 系统 提供 的 系统 调用 多 数 是 为 应 用 程序 封装 出 更 加 高 层 、 功 能 更 加 强 
大 、 使 用 更 加 便捷 的 系统 服务 。 如 操作 系统 通过 文件 管理 ,将 磁盘 类 访问 封装 成 文件 相关 的 
各 种 系统 调用 ,显然 应 用 程序 借助 文件 访问 相关 的 系统 调用 比 直接 访问 磁盘 块 方便 ,安全 性 
也 好 ,不 用 担心 与 其 他 应 用 程序 发 生 磁 盘 块 访问 冲突 。 

系统 调用 是 应 用 程序 和 操作 系统 内 核 之 间 的 功能 接口 ,其 主要 目的 是 可 以 比较 方便 地 
使 用 操作 系统 提供 的 有 关 设 备 管理 ,输入 /输出 系统 文件 系统 和 进程 控制 通信 以 及 存储 管 
理 等 方面 的 功能 ,而 不 必 了 解 系统 内 核 代码 的 内 部 结构 和 有 关 硬 件 细节 ,从 而 起 到 减轻 用 户 
负担 ,保护 系统 以 及 提高 资源 利用 率 的 作用 。 系 统 调用 在 Linux 系统 中 发 挥 着 巨大 的 作用 ， 
如 果 没 有 系统 调用 ,那么 应 用 程序 就 失去 了 内 核 的 支持 。 在 应 用 程序 编程 时 用 到 的 很 多 函 
数 , 如 open() 、write() .read() 等 ,都 与 具体 的 系统 调用 相对 应 。 

众所周知 ,C 语言 的 库 函 数 为 应 用 程序 开发 者 提供 了 便捷 的 开发 接口 。 系 统 调 用 也 相 
当 于 为 应 用 程序 的 编制 提供 了 必要 的 开发 接口 。 系 统 调用 和 C 语言 的 库 函 数 两 者 在 接口 
形式 和 使 用 方式 上 没有 明显 的 差别 ,应 用 程序 都 可 像 函 数 调用 一 样 使 用 它们 ,甚至 于 编程 人 
员 都 没 必 要 区 分 一 个 函数 调用 是 库 函 数 还 是 系统 调用 。 从 实现 的 角度 而 言 ,系统 调用 和 
C 语言 的 库 函 数 两 者 有 本 质 性 的 区 别 ,前 者 是 在 操作 系统 内 核实 现 的 ,其 对 应 的 运行 代码 段 
在 系统 态 执行 ,而 后 者 是 在 用 户 态 实现 ,在 程序 编译 过 程 中 , 库 函 数 将 和 所 编写 的 源 代码 一 
起 生成 目标 文件 。C 语言 库 函 数 实现 时 可 以 调用 操作 系统 提供 的 系统 调用 ,事实 上 很 多 库 
函数 在 实现 时 都 使 用 了 系统 调用 。 当 然 操作 系统 在 实现 系统 调用 对 应 的 代码 段 时 ,不 会 也 
不 允许 去 调用 C 语言 函数 库 。 
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1.5 Linux 系统 调用 的 实现 


在 不 同 的 系统 架构 下 ,Linux 操作 系统 的 系统 调用 实现 方式 存在 一 定 的 差别 ,下 面 以 最 
常见 到 的 x86 平台 为 例 , 曾 述 Linux 系统 调用 的 实现 方法 。 


1.5.1 系统 调用 入 口 地 址 表 


现在 操作 系统 能 够 给 在 应 用 层 运行 的 应 用 程序 提供 多 达 数 百 条 的 系统 调用 ,如 Linux 
(内 核 版 本 2. 6.18 及 以 上 ) 就 有 超过 300 个 的 系统 调用 。 同 大 多 数 人 预想 的 一 样 ,每 个 系统 
调用 在 Linux 内 核 中 都 有 一 个 对 应 的 处 理 函数 ,以 完成 该 系统 调用 对 应 的 服务 功能 。 应 用 
程序 在 调用 某 系 统 调 用 时 ,操作 系统 会 执行 相应 的 处 理 函 数 。 为 了 便于 管理 这 些 系统 调用 ， 
Linux 系统 在 给 系统 调用 命名 的 同时 也 给 每 个 系统 调用 分 配 了 一 个 编号 , 即 从 0 开始 的 连 
续 数 字 , 每 个 系统 调用 对 应 一 个 数字 编号 , 即 通常 所 说 的 系统 调用 号 。 系 统 按照 编号 将 每 个 
系统 调用 的 处 理 函 数 入 口 地 址 保存 在 一 个 内 存 数组 中 , 即 系统 调用 入 口 地 址 表 。 

在 系统 调用 的 实现 中 ,系统 调用 入 口 地 址 表 是 非常 重要 的 内 容 。 该 表 实质 上 对 应 一 个 
地 址 数组 ,数组 长 度 由 所 支持 的 系统 调用 数目 决定 ,数组 元 素 的 下 标 对 应 于 系统 调用 号 ,每 
个 元 素 中 存储 了 对 应 系统 调用 的 处 理 函 数 入 口 地 址 。 在 Linux 系统 (以 内 核 版 本 2. 6. 18 为 
例 ) 中 ,系统 调用 入 口 地 址 表 定 义 在 源 代码 文件 syscall_table. S 中 ,如 下 所 示 : 


ENTRY(sys_call_table) 

.long sys_restart_syscall /*x0*/ 
.long sys_exit 

.long sys_fork 

.long sys_read 

.long sys_write 

.long sys_open /x 5*/ 
.long sys_close 

.long sys_waitpid 

.long sys_creat 

.long sys_link 

.long sys_unlink /x 10#/ 
“(以 下 上 略 ) 


由 于 这 些 系 统 调用 对 应 的 处 理 函 数 是 操作 系统 内 核 的 组 成 部 分 ,运行 在 用 户 态 的 应 用 
程序 不 能 直接 查找 和 调用 只 能 在 系统 态 执 行 的 系统 调用 处 理 函数 。 既 然 如 此 ,操作 系统 怎 
么 知道 应 用 程序 中 所 请 求 的 系统 调用 对 应 内 核 的 哪个 系统 调用 ,以 及 如 何 找 到 对 应 的 处 理 
函数 呢 , 这 就 是 系统 调用 接口 需要 解决 的 问题 。 系 统 调用 接口 的 实现 比较 复杂 ,涉及 到 
CPU 的 设计 、 操 作 系 统 的 设计 以 及 编译 器 的 配合 。 


1.5.2 中 断 机 制 和 系统 调用 实现 


系统 调用 接口 实现 的 核心 问题 是 CPU 如 何 进行 运行 模式 的 切换 , 即 CPU 在 用 户 态 执 
行 应 用 程序 过 程 中 ,如 遇 到 应 用 程序 的 系统 调用 请 求 , 该 如 何 转向 系统 态 执行 操作 系统 中 该 
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系统 调用 对 应 的 处 理 函 数 。 

CPU 运行 模式 的 切换 要 从 CPU 的 中 断 机 制 说 起 ,中 断 是 现代 CPU 和 操作 系统 中 最 为 
重要 的 概念 ,CPU 在 正常 运行 过 程 中 一 旦 收 到 中 断 信号 ,就 会 暂停 当前 的 任务 ,进行 相应 的 
中 断 处 理 , 哪 怕 CPU 当前 正 运 行 在 用 户 态 ,也 会 自动 转换 到 系统 态 进 行 相应 的 中 断 处 理 。 
为 了 便于 管理 不 同 的 中 断 ,计算 机 系统 根据 中 断 源 的 不 同 将 中 断 细 分 并 分 别 进行 编号 ,为 每 
个 编号 的 中 断 设 计 相 应 的 处 理 函 数 ,同时 将 这 些 处 理 函 数 的 入 口 地 址 保存 在 一 段 内 存 数 组 
中 。 通 过 访问 该 内 存 数组 中 对 应 下 标的 数组 元 素 ,就 能 获得 相应 编号 的 中 断 处 理 函数 的 入 
口 地 址 ,这 段 内 存 数组 通常 被 人 们 称 为 中 断 向 量 表 。 

严格 说 来 ,CPU 和 操作 系统 (以 x86 计算 机 架构 和 Linux 操作 系统 为 例 ) 的 中 断 按 处 理 
方式 不 同 可 分 为 三 种 类 型 : 一 是 严格 意义 上 的 中 断 , 即 硬件 中 断 , 硬 件 中 断 是 外 部 设备 与 
CPU 进行 通信 的 主要 形式 ,也 是 CPU 和 外 部 设备 能 够 并 行 工作 的 技术 保证 ; 二 是 CPU 执 
行 异常 ,如 CPU 在 执行 应 用 程序 指令 过 程 中 发 现 了 除 0 的 情况 ,就 会 发 出 异常 信号 ,CPU 
进行 相应 的 异常 处 理 ; 三 是 一 种 特殊 的 中 断 形式 , 即 自 陷 trap,CPU 和 操作 系统 提供 这 种 
中 断 形式 的 目的 就 是 为 了 让 CPU 在 执行 应 用 程序 过 程 中 能 够 主动 切换 到 ( 即 陷入 ) 系 统 态 
执行 ,以 进行 相应 的 处 理 。 硬 件 中 断 和 后 面 两 种 形式 的 中 断 在 具体 处 理 上 有 明显 区 别 ， 
CPU 在 一 条 指令 的 执行 过 程 中 , 若 发 生硬 件 中 断 ( 如 内 存 缺 页 中 断 ), 待 中 断 处 理 完 成 返回 
时 ,CPU 会 重新 再 次 执行 被 中 断 的 指令 , 若 发 生 异 常 和 自 陷 , 待 中 断 处 理 完成 返回 时 ,CPU 
不 会 重新 执行 所 中 断 的 指令 ,而 直接 执行 下 一 条 指令 。 

系统 调用 是 借助 于 系统 自 陷 实 现 的 ,系统 调用 发 生 时 将 通过 执行 相应 的 机 器 代码 指令 
来 产生 中 断 信号 ,产生 中 断 的 重要 效果 是 CPU 自动 从 用 户 态 切换 到 系统 态 来 对 它 进行 处 
理 。 就 是 说 ,系统 在 执行 系统 调用 的 自 陷 指 令 时 ,自动 地 将 系统 切换 到 系统 态 , 并 进行 相应 
的 处 理 。 待 处 理 完成 后 ,CPU 将 返回 到 用 户 态 ,继续 执行 系统 调用 后 面 的 指令 。 


1.5.3 Linux 系统 调用 的 实现 过 程 


Linux 用 来 实现 系统 自 陷 的 实际 机 器 指令 是 int x80, 这 条 指令 的 执行 效果 是 激发 一 个 
x80 号 中 断 。Linux 系统 为 实现 系统 调用 接口 分 配 的 中 断 编号 为 128( 即 十 六 进 制 的 80)， 
CPU 执行 这 一 指令 时 通过 中 断 向 量 号 128 将 控制 权 转 移 给 内 核 。 当 然 程 序 员 在 编写 应 用 
程序 时 ,如 果 需 要 调用 系统 调用 ,没有 必要 直接 在 自己 程序 的 源 代码 中 插入 这 样 的 一 条 汇编 
指令 ,而 只 要 像 调 用 库 函 数 一 样 调用 系统 调用 即 可 。 编 译 器 在 将 源 程 序 编译 成 可 执行 文件 
时 ,会 生成 相应 的 机 器 指令 代码 ,主要 包括 : 保存 系统 调用 编号 对 应 的 指令 代码 ,int x80 的 
对 应 指令 代码 。 

编译 出 的 目标 程序 在 执行 到 int x80 位 置 时 ,CPU 会 切换 到 系统 态 运 行 , 并 将 控制 权 转 
移 给 操作 系统 内 核 ( 即 开始 执行 操作 系统 内 核 的 代码 ) 。 内 核 中 的 代码 将 通过 查找 中 断 向 量 
表 中 x80 号 中 断 对 应 的 中 断 处 理 函 数 入 口 地 址 ,系统 转 而 执行 相应 的 中 断 处 理 函 数 。x80 
号 中 断 对 应 的 中 断 处 理 函数 , 即 为 系统 调用 总 入 口 函 数 , 该 函数 的 大 致 任务 (中 间 省 略 了 一 
些 信号 、 调 试 、 跟 踪 等 处 理 ) 为 : 

。 保存 寄 存 器 等 各 种 运行 现场 ; 

。 从 相应 寄存 器 中 获得 系统 调用 号 ; 

。 根据 系统 调用 号 ,从 系统 调用 入 口 地 址 表 获 得 该 系统 调用 处 理 函 数 的 入 口 地 址 ; 
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调用 该 系统 调用 处 理 函 数 ,将 结果 保存 在 相应 的 寄存 器 中 ; 
完成 系统 调用 处 理 , 从 系统 态 返 回 , 并 把 结果 反馈 给 用 户 进程 ,用 户 进程 继续 执行 后 
继 的 指令 代码 。 


1.6 应 用 程序 和 内 核 模块 的 信息 交互 方式 


应 用 程序 代码 运行 在 用 户 态 ,内核 模块 代码 运行 在 系统 态 。 在 Linux 操作 系统 中 ,运行 
在 用 户 态 下 的 CPU 工作 在 保护 地 址 模式 下 ,而 运行 在 系统 态 下 的 CPU 工作 在 实地 址 模式 
下 。 内 核 模块 代码 和 应 用 程序 代码 分 别 运行 在 不 同 的 地 址 空间 上 ,二 者 不 能 相互 访问 和 自 
由 地 进行 数据 传递 。 

在 通过 开发 Linux 系统 内 核 模块 以 实现 内 核 级 的 Linux 安全 增强 时 ,内 核 模块 与 上 层 
应 用 程序 之 间 通 常 需要 进行 一 些 信息 的 交互 。 如 通过 内 核 模块 实现 内 核 级 的 文件 访问 控制 
时 ,需要 将 通过 配置 程序 得 到 的 一 些 控制 配置 信息 传递 给 内 核 模块 ,从 而 让 内 核 模块 按 用 户 
的 控制 配置 进行 相应 的 访问 控制 。 再 如 ,在 通过 内 核 模块 实现 系统 级 的 访问 日 志 时 ,内 核 模 
块 需要 将 收集 到 的 日 志 信 息 传递 给 上 层 应 用 程序 进行 处 理 。 因 此 ,如 何 实现 内 核 模块 与 上 
层 应 用 程序 之 间 的 信息 交互 ,是 开发 Linux 系统 内 核 模块 实现 操作 系统 级 的 Linux 安全 增 
强 中 的 一 个 关键 问题 。 

Linux 系统 中 ,在 应 用 层 和 内 核 层 之 间 完 成 信息 交互 需要 采取 一 定 的 技术 措施 。 在 本 
书 的 开发 实践 中 ,有 多 个 实验 题目 涉及 到 内 核 模块 和 配置 应 用 程序 间 的 数据 交换 。 为 便于 
理解 相关 的 开发 实践 ,本 节 集 中 阐述 内 核 模块 开发 者 经 常用 到 的 内 核 模块 与 应 用 程序 之 间 
的 三 种 数据 交换 技术 , 即 Netlink 机 制 、 创 建设 备 文件 ,添加 系统 调用 。 


1.6.1 Netlink 机 制 


基于 套 接 字 的 网 络 通信 编程 在 计算 机 和 网 络 通信 中 得 到 非常 广泛 的 应 用 , 既 适 用 于 
TCP/IP 协议 的 通信 ,也 适用 于 其 他 协议 的 通信 ,可 以 说 套 接 字 是 目前 网 络 通信 中 普遍 接受 
的 接口 形式 。 为 了 便于 软件 开发 者 完成 内 核 层 与 应 用 层 之 间 的 通信 ,Linux 操作 系统 内 核 
从 2.6 版 本 开始 提供 一 种 基于 套 接 字 接口 的 通信 机 制 , 即 Netlink 机 制 。 软 件 开 发 者 可 以 
在 内 核 模块 和 上 层 应 用 程序 之 间 分 别 建立 Netlink 协议 类 型 的 套 接 字 , 经 过 套 接 字 初始 化 
后 ,应 用 程序 和 内 核 模 块 就 可 以 使 用 这 对 套 接 字 进 行 数据 传递 。 

在 内 核 模块 和 上 层 应 用 程序 之 间 采 用 Netlink 机 制 进行 通信 ,具有 如 下 几 个 优点 : @ 采 
用 全 双 工 异步 通信 ,在 内 核实 现 Netlink 接收 队列 , 即 可 实现 无 阻塞 的 消息 通信 ; @ 具 有 “组 
播 "功能 ,Netlink 消息 可 发 送 到 一 个 Netlink 组 地 址 ,所 有 设 定 该 组 地 址 的 进程 都 能 收 到 该 
消息 ; @ 在 内 核 模块 中 添加 一 个 Netlink 套 接 字 只 需 进行 少量 修改 ,上 且 Netlink 套 接 字 与 
BSD 套 接 字 在 应 用 层 的 风格 一 致 ,便于 掌握 和 应 用 。 

由 于 Netlink 机 制 的 这 些 优 点 ,Netlink 机 制 逐 渐 成 为 Linux 系统 中 一 种 标准 的 通信 机 
制 , 目 前 多 种 基于 Linux 开发 的 相关 应 用 ,如 路 由 器 防火 墙 \IPSec 等 ,都 采用 Netlink 机 制 
实现 内 核 模块 和 上 层 应 用 程序 之 间 的 通信 。 在 Netlink 机 制 中 ,也 有 Netlink 协议 簇 的 概 
念 ,以 分 别 支持 各 种 形式 和 用 途 的 通信 ,目前 Netlink 协议 得 的 支持 范围 为 0 一 31, 其 中 
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0 一 16 对 应 Linux 自身 或 者 知名 的 应 用 (如 Linux 防火 墙 . 路 由 器 等 ),17 一 31 供用 户 定义 
使 用 。 

Netlink 机 制 的 使 用 比较 简单 ,使 用 Netlink 机 制 进行 通信 的 套 接 字 与 普通 的 套 接 字 通 
信 并 没有 本 质 的 差别 , 即 先 创建 套 接 字 , 然 后 在 该 套 接 字 上 完成 数据 的 发 送 和 接收 ,只 是 
Netlink 套 接 字 通 信 时 消息 数据 的 构造 相对 复杂 ,涉及 到 几 个 较为 复杂 的 数据 结构 。 
Netlink 套 接 字 的 使 用 方法 将 在 后 面 的 章节 中 结合 具体 开发 实践 进行 曾 述 。 


1.6.2 创建 设备 文件 


在 Linux 系统 中 ,为 屏蔽 硬件 细节 ,引入 了 设备 文件 这 种 方式 , 即 无 论 底层 硬件 有 多 大 
不 同 ,都 通过 相应 的 设备 驱动 将 具体 设备 抽象 为 设备 文件 (其 中 网 络 设备 例外 ,抽象 为 接 
口 ) ,给 应 用 程序 提供 一 个 统一 的 编程 接口 。 

Linux 系统 中 设备 的 基本 类 型 有 字符 设备 . 块 设备 和 网 络 设备 三 种 。 系 统 中 设备 文件 
的 类 型 可 以 用 “lsdev -1 命令 查看 ,以 字母 “c" 开 头 的 表示 字符 设备 ,以 字母 *b" 开 头 的 表示 
块 设备 ,如 PC 上 的 串口 和 键盘 等 属于 字符 设备 ,硬盘 和 软盘 等 属于 块 设备 。 相 对 来 说 , 字 
符 设备 对 应 的 驱动 程序 最 为 简单 。 

Linux 系统 为 每 个 设备 分 配 了 一 个 主 设备 号 和 一 个 次 设备 号 , 主 设备 号 标识 设备 对 应 
的 驱动 程序 ,次 设备 号 标识 具体 设备 的 实例 。 每 一 类 设备 使 用 的 主 设备 号 是 唯一 的 ,系统 增 
加 一 个 驱动 程序 就 要 赋予 它 一 个 主 设备 号 ,这 一 赋值 过 程 在 驱动 程序 的 初始 化 过 程 中 进行 。 

设备 文件 不 涉及 磁盘 数据 及 访问 , 仅 作为 设备 访问 的 入 口 点 ,应 用 程序 利用 该 入 口 点 就 
可 以 像 操 作 普 通 文件 一 样 来 操作 设备 。 设 备 驱 动 程序 实质 上 是 一 组 完成 不 同 任务 的 函数 集 
合 。 当 应 用 程序 需要 对 设备 进行 操作 时 ,可 以 访问 该 设备 对 应 的 文件 结 点 ,内核 将 调用 该 设 
备 的 相关 处 理 函 数 ,通过 这 些 函 数 所 提供 的 功能 ,可 以 像 读 写 文件 一 样 从 设备 接收 输入 和 将 
输出 送 到 设备 。 这 些 函 数 集合 定义 在 一 个 file_operations 类 型 (在 Linux 内 核 源 代码 
include/linux/ fs.h 文件 中 定义 ) 的 结构 体 中 ,定义 了 常见 文件 1/O 函数 的 入 口 地 址 。 

实际 上 ,可 以 创建 一 个 虚拟 设备 来 实现 内 核 模 块 和 上 层 应 用 程序 之 间 的 通信 ,该 虚拟 设 
备 的 驱动 程序 不 是 去 管理 具体 的 硬件 设备 ,而 是 通过 驱动 中 的 各 操作 函数 实现 内 核 模 块 与 
应 用 程序 之 间 的 数据 交互 。 

编写 一 个 字符 设备 驱动 的 主要 任务 是 实现 file_operations 结构 中 的 各 个 操作 函数 ,如 
open() .release() ,read() 、write() ,lseek() ,ioctl() 等 ,大 多 数 设 备 驱 动 无需 实 现 所 有 的 操作 
函数 ,只 要 为 用 到 的 操作 编写 相应 的 函数 即 可 。 在 本 文 下 面 章节 的 开发 实践 中 ,主要 编写 的 
是 函数 write() ,该 函数 的 主要 功能 是 : 把 通过 应 用 程序 配置 的 信息 传递 给 内 核 模 块 ,以 实 
现 相应 的 资源 访问 控制 等 。 

在 设备 驱动 中 , 除 编写 操作 函数 外 ,还 需要 实现 初始 化 :以 在 内 核 中 注册 该 设备 。 设 备 
驱动 是 以 一 个 独立 的 内 核 模块 形式 存在 的 ,在 包含 设备 驱动 的 内 核 模块 加 载 时 ,需要 调用 设 
备 初始 化 函数 完成 设备 注册 ,即将 驱动 程序 的 file_operations 与 主 设备 号 一 起 向 内 核 进 行 
注册 。 

字符 设备 的 注册 函数 为 int register_ chrdev (unsigned int major，const char name， 
struct file_operations fops) ,其 中 major 是 设备 驱动 程序 向 系统 申请 的 主 设备 号 ,如果 
major 值 为 0, 则 系统 动态 地 分 配 一 个 主 设备 号 ; name 是 设备 名 ; fops 是 file_operations 结 
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构 类 型 的 变量 ,该 变量 包含 处 理 该 设备 每 个 操作 ( 读 、 写 等 ) 的 入 口 函 数 地 址 。 

相应 地 ,包含 该 设备 驱动 的 内 核 模 块 印 载 时 ,需要 调用 设备 的 印 载 函 数 完成 对 设备 的 注 
销 , 字 符 设备 的 印 载 函数 为 : int unregister_ chrdev(unsigned int major, const char name)， 
其 中 major 是 为 要 注销 设备 的 主 设备 号 ,name 是 设备 名 称 。 


1.6.3 添加 系统 调用 


系统 调用 是 应 用 程序 使 用 操作 系统 所 提供 服务 的 接口 形式 ,在 使 用 各 种 类 型 的 服务 功 
能 时 ,应 用 程序 要 与 Linux 内 核 交 互 数据 ,系统 调用 中 的 参数 就 是 用 来 在 应 用 程序 和 Linux 
内 核 间 完成 数据 交互 的 。 因 此 ,如果 新 添加 一 个 带 参数 的 系统 调用 ,就 可 以 完成 应 用 程序 和 
内 核 模块 间 的 信息 传递 。 

实现 一 个 新 的 系统 调用 要 完成 的 工作 大 致 包括 : 为 新 添加 的 系统 调用 预先 分 配 一 个 系 
统 调用 号 ,实现 一 个 相应 的 系统 调用 处 理 函 数 , 最 后 将 该 函数 的 入 口 地 址 写 入 到 系统 调用 入 
口 地 址 表 的 对 应 表 项 中 。 

新 添加 的 系统 调用 有 静态 实现 和 动态 实现 两 种 方法 。 静 态 实现 就 是 直接 修改 Linux 操 
作 系 统 的 源 代码 , 即 先 分 配 一 个 新 的 系统 调用 号 ,再 实现 一 个 新 的 系统 调用 处 理 函数 ,然后 
修改 系统 调用 入 口 地 址 表 的 源 代码 ,在 入 口 地 址 表 中 找到 新 系统 调用 号 对 应 的 表 项 位 置 , 写 
入 新 函数 的 入 口 地 址 (实际 上 就 是 函数 名 )。 静 态 实现 方法 由 于 修改 了 内 核 源码 ,需要 对 内 
核 源码 重新 编译 ,并 启动 新 生成 的 内 核 image 文件 。 动 态 实现 是 在 Linux 系统 的 运行 过 程 
中 实现 系统 调用 的 扩展 ,该 方法 无 需 重 新 启动 Linux 操作 系统 ,更 无 需 重 新 编译 操作 系统 的 
源 代 码 。 由 于 Linux 支持 动态 内 核 模块 机 制 , 可 以 在 系统 运行 过 程 中 加 载 新 的 内 核 模块 , 因 
此 可 用 内 核 模块 的 形式 进行 系统 调用 的 动态 扩展 。 在 用 内 核 模块 扩展 系统 调用 时 ,预先 分 
配 好 一 个 系统 调用 号 ,并 实现 一 个 系统 调用 处 理 函 数 , 最 后 在 模块 初始 化 函数 中 ,将 新 函数 
的 入 口 地 址 写 到 系统 调用 入 口 地 址 表 中 的 对 应 表 项 。 

在 新 版 的 Linux 系统 (2.6 版 本 以 后 ) 中 ,Linux 内 核 不 再 导出 系统 调用 入 口 地 址 表 , 因 
此 内 核 模块 不 能 直接 访问 到 系统 调用 入 口 地 址 表 , 而 动态 实现 系统 调用 扩展 的 关键 在 于 如 
何 访问 到 系统 调用 入 口 地 址 表 ,在 本 书 第 2 章 讨论 系统 调用 重 载 ( 见 2. 3 节 ) 时 会 进行 详细 
的 阐述 ,这 里 不 再 费 述 。 

除 上 述 三 种 内 核 模块 与 应 用 程序 间 的 信息 交互 方式 外 ,借助 Linux 的 proc 文件 系统 ， 
采用 新 创建 一 个 proc 文件 结 点 的 方法 也 能 实现 内 核 层 和 应 用 层 间 的 信息 交互 ,本 书 中 的 开 
发 实践 没有 涉及 到 这 种 信息 交互 方式 ,这 里 不 进行 详细 曾 述 。 


1.7 本 章 小 结 


Linux 内 核 级 的 安全 开发 需要 涉及 到 Linux 操作 系统 内 核 的 修改 ,了 解 Linux 内 核 结 
构 是 进行 Linux 内 核 级 安全 开发 的 基础 。 尽 管 Linux 操作 系统 采用 了 单 体式 的 体系 结构 ， 
仍 为 Linux 内 核 的 功能 灵活 扩展 提供 了 一 种 高 效 的 实现 机 制 ,这 就 是 Linux 的 动态 内 核 模 
块 机 制 , 即 新 编制 内 核 模块 ,在 系统 运行 过 程 中 将 新 编制 的 内 核 模块 动态 加 载 到 Linux 系 
统 ,从 而 实现 Linux 系统 功能 的 扩展 。 
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基于 动态 内 核 模块 机 制 实现 Linux 安全 功能 扩展 是 目前 系统 安全 领域 广泛 采用 的 一 种 
方式 ,采用 这 种 方式 实现 安全 功能 扩展 不 需要 修改 Linux 内 核 的 原 有 源 代码 ,具有 系统 移植 
性 好 ,测试 和 使 用 方便 等 多 种 优点 。 很 多 著名 的 安全 系统 ,如 美国 国家 安全 局 (National 
Security Agency) 主 持 开发 的 Security Enhanced Linux( 即 SELinux 系统 ) 、 谢 华 刚 主持 开 
发 的 Linux Intrusion Detection System( 即 LIDS 系统 ), 以 及 开源 软件 组 织 开 发 的 RSBAC 
系统 等 ,都 是 基于 动态 内 核 模块 机 制 扩展 了 Linux 系统 中 的 安全 功能 。 在 本 书 中 涉及 
Linux 内 核 级 安全 功能 开发 的 三 个 开发 实践 ( 见 第 8、9、10 章 ) 也 采用 Linux 内 核 模 块 来 

本 章 重 点 阐述 了 Linux 内 核 级 安全 功能 开发 的 技术 基础 ,具体 包括 : 操作 系统 的 体系 
结构 ,Linux 内 核 模块 机 制 的 原理 ,如 何 新 开发 一 个 Linux 内 核 模块 ,以 及 内 核 模块 与 应 用 
程序 之 间 的 信息 交互 技术 。 系 统 调用 作为 操作 系统 对 应 用 程序 提供 的 服务 接口 ,在 系统 调 
用 中 实现 安全 检查 是 Linux 系统 中 一 种 重要 的 安全 机 制 , 在 Linux 的 系统 调用 中 引入 新 的 
安全 机 制 也 是 实现 Linux 内 核 级 安全 功能 的 重要 手段 ,因此 本 章 还 对 Linux 系统 调用 的 实 
现 过程 进 行 了 详细 的 阐述 。 


习 题 


1. 在 操作 系统 设计 和 开发 中 ,有 哪 两 种 主要 的 操作 系统 体系 结构 ,各 具有 什么 特点 ? 
Linux 系统 采用 了 哪 种 体系 结构 ? 
2. 简 述 Linux 操作 系统 中 引入 动态 内 核 模块 机 制 的 好 处 。 
3. 简 述 为 何 质量 差 的 内 核 模块 比 一 个 质量 差 的 应 用 程序 给 Linux 系统 的 运行 会 带 来 
更 大 的 安全 危害 。 
4. 结合 处 理 器 的 运行 模式 ,说 明 应 用 程序 和 内 核 模块 在 执行 方式 上 的 区 别 。 
. 简 述 编译 应 用 程序 和 内 核 模块 在 方法 上 有 何不 同 。 
. Linux 操作 系统 在 内 核 模块 加 载 、. 印 载 时 ,分 别 需要 完成 哪些 具体 工作 ? 
.如 果 一 个 内 核 模块 无 法 印 载 成 功 ,其 最 可 能 的 原因 是 什么 ? 
. 内核 模块 主要 由 哪 三 部 分 组 成 ,分 别 说 明 这 三 部 分 在 什么 场合 下 被 调用 ? 
. 用 C 语言 编制 内 核 模块 时 ,是 否 需要 实现 main 函数 作为 内 核 模块 执行 的 入 口 ? 
. 简 述 内 核 输出 符号 表 在 内 核 模 块 开发 和 运行 中 的 作用 。 
. 在 Linux 内 核 模块 编程 中 ,是 否 可 以 调用 C 语言 函数 库 ? 简要 说 明理 由 。 
. 简 述 系统 调用 和 一 般 C 语言 库 函 数 的 区 别 和 联系 。 
在 C 语言 库 函 数 的 实现 中 ,可 以 调用 系统 调用 吗 ? 
. 简要 说 明 系 统 调用 号 在 系统 调用 实现 中 的 作用 。 
. 简要 阐述 中 断 及 中 断 向 量 表 在 系统 调用 实现 中 的 作用 。 
. 简要 闸 述 系统 调用 总 人 口 函 数 的 主要 任务 。 
. 什么 是 系统 调用 入 口 地 址 表 , 以 及 系统 调用 入 口 地 址 表 的 作用 是 什么 ? 
. 操作 系统 为 应 用 程序 提供 了 很 多 服务 支持 ,为 何不 让 应 用 程序 直接 调用 操作 系统 
中 实现 的 这 些 服 务 函 数 ,而 是 采用 系统 调用 的 接口 形式 提供 服务 支持 ?( 从 系统 安全 性 角度 
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阐述 其 具体 原因 ) 

19. 简 述 内 核 层 和 应 用 层 之 间 常 见 的 通信 方式 。 

20. 简 述 Netlink 机 制 的 通信 特点 。 

21. 简 述 添加 系统 调用 的 两 种 技术 方案 。 

22. 在 设备 文件 中 , 主 设备 号 和 次 设备 号 分 别 有 什 么 作用 ? 

23. 在 利用 设备 文件 进行 内 核 层 与 应 用 层 之 间 的 数据 通信 时 ,新 设备 的 驱动 程序 需要 
编写 哪些 函数 ? 
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第 1 章 详细 阐述 了 进行 Linux 内 核 级 开发 的 原理 和 基础 ,重点 包括 Linux 的 动态 内 核 
模块 机 制 `.Linux 系统 调用 的 实现 内核 模块 的 开发 方法 ,以 及 内 核 模块 与 应 用 程序 之 间 的 
数据 交互 方式 等 。 基 于 这 些 基 础 知识 ,可 以 进行 相应 的 内 核 模块 开发 ,从 而 扩展 Linux 的 内 
核 功能 。 但 要 在 新 开发 的 内 核 模 块 中 方便 地 实现 新 的 安全 机 制 ,对 操作 系统 的 安全 功能 进 
行 增强 和 提高 ,还 需要 相应 安全 技术 的 支持 。 

不 难 理解 ,对 Linux 内 核 而 言 ,其 两 类 安全 机 制 最 为 重要 ,一 是 访问 控制 功能 ,访问 控制 
的 目的 是 实现 既定 安全 策略 ,管理 资源 访问 请 求 , 即 对 资源 访问 请 求 做 出 是 否 许可 的 判断 ， 
能 有 效 地 防止 应 用 程序 非法 使 用 系统 资源 ; 二 是 安全 日 志 功 能 , 即 对 系统 中 所 有 影响 系统 
安全 的 操作 进行 记录 ,以 便于 发 现 非 法 操作 ,发 现 和 弥补 系统 安全 漏洞 ,以 及 对 所 发 生 的 安 
全 事件 进行 事后 追查 。 

在 Linux 操作 系统 中 ,无 论 是 实现 哪 种 安全 功能 ,访问 控制 或 安全 日 志 , 都 需要 知道 系 
统 中 正在 执行 的 操作 。 因 此 ,要 在 所 编写 的 内 核 模块 中 实现 访问 控制 功能 ,需要 Linux 内 核 
在 操作 发 生前 告知 内 核 模块 将 要 产生 操作 的 信息 ( 即 操作 上 下 文 , 包 括 操作 类 型 .操作 对 象 
等 ) ,并 且 还 需要 让 Linux 内 核 遵从 内 核 模块 的 访问 控制 决策 ,拒绝 继续 执行 该 内 核 模块 不 
建议 实施 的 操作 。 相 应 地 ,要 在 所 编写 的 内 核 模块 中 实现 安全 日 志 功 能 ,同样 需要 Linux 内 
核 在 操作 发 生 后 告知 内 核 模块 已 经 发 生 的 操作 信息 (包括 操作 类 型 .操作 对象 .是 否 成 功 
等 ) ,这 样 内 核 模 块 才能 实现 相应 的 日 志 功 能 。 

通过 本 书 1.4 节 、1.5 节 对 系统 调用 概念 和 实现 过 程 的 曾 述 ,自然 会 想到 ,既然 系统 调 
用 是 Linux 内 核 向 应 用 程序 提供 的 服务 接口 ,应 用 程序 通过 系统 调用 向 内 核 提 出 资源 访问 
相关 的 请 求 ,如 果 围 绕 系统 调用 接口 开展 工作 或 许 能 够 获得 系统 中 操作 执行 相关 的 信息 。 
的 确 ,通过 这 样 的 技术 思想 可 以 截获 Linux 系统 中 所 执行 的 操作 ,这 就 是 系统 调用 的 重 载 技 
术 。 在 内 核 模块 中 ,通过 系统 调用 重 载 可 以 实现 相应 的 内 核 级 安全 机 制 。 

除了 系统 调用 重 载 外 ,Linux 基于 钩子 函数 的 实现 思想 还 提供 另外 一 种 操作 截获 的 方 
法 ,这 就 是 Linux 安全 模块 (Linux Security Modules) 机 制 , 即 LSM 机 制 。 在 实现 安全 机 制 
的 内 核 模块 中 ,如 果 向 LSM 中 注册 相应 的 钧 子 函数 ,Linux 内 核 在 执行 相关 的 资源 访问 操 
作 时 ,会 自动 调用 所 注册 的 钧 子 函 数 ,内 核 模块 可 以 在 钧 子 函数 中 实现 资源 访问 控制 或 者 相 
应 的 操作 日 志 记 录 。 

在 具体 详 述 如 何在 内 核 模 块 中 实现 访问 控制 和 安全 日 志 这 两 种 安全 机 制 前 ,本 章 首先 
具体 阐述 这 两 种 安全 机 制 的 实现 技术 。 文 件 是 操作 系统 中 最 重要 的 数据 资源 ,文件 访问 操 
作对 操作 系统 的 安全 性 有 着 非常 重要 的 影响 。 本 章 以 文件 访问 为 例 , 基 于 系统 调用 重 载 和 
LSM 机 制 这 两 种 实现 技术 ,对 如 何在 Linux 操作 系统 中 实现 系统 级 的 文件 访问 控制 和 文件 
访问 监视 进行 解析 ,同时 设计 了 两 个 Linux 内 核 级 安全 机 制 的 开发 题目 : 基于 LSM 机 制 的 
文件 访问 控制 ,以 及 基于 系统 调用 重 载 的 文件 访问 日 志 。 这 两 个 开发 题目 对 应 的 开发 实践 
过 程 及 相应 的 原型 系统 在 本 书 第 二 部 分 “开发 实践 篇 "中 详细 阐述 ,具体 详 见 第 8、9 章 。 
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2.1 Linux 的 安全 模块 (LSM) 机 制 


LSM 机 制 是 目前 Linux 系统 中 最 受 人 关注 的 安全 机 制 之 一 ,下 面 从 LSM 机 制 的 背景 、 
实现 原理 、 基 本 功能 等 方面 阐述 LSM 机 制 。 


2.1.1 LSM 机 制 的 出 现 背 景 


近年 来 Linux 系统 由 于 其 出 色 的 性 能 和 稳定 性 ,开放 源 代 码 特性 带 来 的 灵活 性 和 可 扩 
展 性 ,以 及 较 低 廉 的 成 本 ,受到 计算 机 工业 界 的 广泛 关注 和 应 用 。 但 在 安全 性 方面 , Linux 
内 核 只 提供 了 经 典 的 UNIX 自主 访问 控制 ,以 及 部 分 地 支持 了 POSIX. le 标准 草案 中 的 
capabilities 安全 机 制 。Linux 系统 在 安全 性 方面 存在 的 不 足 , 影 响 了 Linux 系统 的 进一步 
发 展 和 更 广泛 的 应 用 。 

在 2001 年 的 Linux 内 核 峰会 上 ,当时 Linux 内 核 的 创始 人 Linus Torvalds 同意 Linux 
内 核 引 入 一 个 通用 的 安全 访问 控制 框架 ,但 他 指出 最 好 是 通过 可 加 载 内 核 模块 的 方法 ,这 样 
可 以 支持 现存 的 各 种 不 同 的 安全 访问 控制 机 制 。 因 此 ,Linux 安全 模块 (LSM) 机 制 应 运 
而 生 。 

LSM 是 Linux 内 核 的 一 个 轻 量 级 通用 访问 控制 框架 ,使 得 各 种 不 同 的 安全 访问 控制 模 
型 能 够 以 Linux 可 加 载 内 核 模块 的 形式 实现 出 来 ,可 以 根据 需求 选择 合适 的 安全 模块 加 载 
到 Linux 内 核 中 ,从 而 提高 Linux 访问 控制 机 制 的 灵活 性 和 易 用 性 。 目 前 已 经 有 很 多 著名 
的 访问 控制 增强 系统 移植 到 LSM 上 实现 ,包括 POSIX. le capabilities、 安 全 增强 Linux 
(SELinux) , 域 和 类 型 增强 (DTE), 以 及 Linux 入 侵 检 测 系 统 (Linux Intrusion Detection 
System,LIDS) 等 。LSM 最 初 是 作为 一 个 Linux 内 核 补丁 的 形式 提供 ,在 2.6 以 上 内 核 版 
本 的 Linux 中 ,已 经 将 LSM 机 制 包 含 到 内 核 中 ,被 Linux 内 核 接受 成 为 Linux 内 核 安 全 机 
制 的 现实 标准 。 


2.1.2 LSM 机 制 的 实现 原理 


各 种 不 同 的 Linux 安全 增强 系统 要 求 LSM 机 制 能 够 允许 它们 以 可 加 载 内 核 模块 的 形 
式 重新 实现 其 安全 功能 ,并 且 不 会 在 安全 性 方面 带 来 明显 的 损失 ,也 不 会 带 来 额外 的 系统 开 
销 。 因 而 以 Linus Torvalds 为 代表 的 内 核 开 发 人 员 对 LSM 提出 了 具体 要 求 : 真正 的 通用 ， 
当 使 用 一 个 不 同 的 安全 模型 时 ,只 需要 加 载 一 个 不 同 的 内 核 模块 即 可 ; 对 Linux 内 核 影响 
小 、 高 效 ,并 且 能 够 支持 POSIX. le 接口 中 定义 的 capabilities 控制 方式 。 

为 了 满足 这 些 设计 目标 ,LSM 通过 在 内 核 源 代码 中 放置 钧 子 的 方法 ,来 仲裁 对 内 核 中 
内 部 对 象 进行 的 访问 ,这些 对 象 有 任务 ,node 结 点 .打开 的 文件 等 。Linux 系统 中 已 经 实现 
了 经 典 的 访问 控制 机 制 , 即 基 于 保护 位 的 自主 访问 控制 。 在 Linux 的 资源 访问 流程 中 ， 
LSM 钩子 点 的 位 置 通常 在 经 过 自主 访问 控制 后 ,在 Linux 内 核 试图 对 内 部 对 象 进行 真实 访 
问 前 ,换言之 只 有 通过 自主 访问 控制 的 操作 请 求 才 可 能 到 达 LSM 的 钩子 点 。 

LSM 每 个 钩子 点 包含 两 层 含意 : 四 当 Linux 的 资源 访问 流程 执行 至 此 时 ,调用 LSM 
安全 模块 ( 即 借助 于 LSM 机 制 实现 安全 功能 的 内 核 模块 ) 注 册 的 函数 ,通过 该 调用 相当 于 
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询问 LSM 安全 模块 是 否 允 许 执行 该 访问 ; 四 待 LSM 安全 模块 根据 其 安全 策略 进行 决策 后 
( 即 所 调用 的 函数 执行 结束 ) ,依据 其 决策 结果 ( 即 函 数 返回 值 ) ,允许 进行 实际 的 资源 访问 ， 
或 者 中 止 访问 流程 提前 返回 。 

男 外 ,为 了 满足 大 多 数 现存 Linux 安全 增强 系统 的 需要 ,LSM 采用 了 如 下 的 简化 设计 : 
目前 ,LSM 主要 支持 安全 增强 系统 中 的 访问 控制 功能 ,而 对 一 些 安全 增强 系统 要 求 的 其 
他 安全 功能 ,如 安全 审计 等 ,只 提供 少量 的 支持 ; @LSM 主要 支持 “限制 型 "的 访问 控制 决 
策 , 即 当 Linux 内 核 给 予 访问 权限 时 ,LSM 在 此 基础 上 进一步 完成 是 否 允 许 访问 的 判断 ,而 
当 Linux 内 核 拒 绝 访问 时 ,就 直接 跳 过 LSM ,而 基本 不 支持 “允许 型 "的 访问 控制 决策 ( 即 通 
过 LSM 机 制 实现 原 Linux 所 拒绝 的 操作 )。 同 时 ,LSM 中 允许 多 个 安全 机 制 释 加 , 当 系 统 
需要 多 个 安全 模块 共同 完成 安全 功能 时 ,由 第 一 个 加 载 的 LSM 安全 模块 进行 模块 安全 功 
能 合成 的 最 终 决 策 。 


2.1.3 LSM 机 制 中 钩子 函数 的 注册 


严格 说 来 ,LSM 是 一 种 Linux 安全 实现 机 制 , 其 本 身 不 提供 任何 具体 的 安全 策略 ,而 是 
提供 了 一 个 通用 的 基础 体系 给 LSM 安全 模块 ,由 LSM 安全 模块 来 实现 具体 的 安全 策略 。 
因此 不 包含 任何 安全 功能 ( 即 不 含 任何 LSM 安全 模块 ) 的 LSM 机 制 通常 被 称 为 LSM 框 
架 , 本 书 下 面部 分 也 采用 LSM 框架 的 说 法 。 

LSM 框架 主要 在 以 下 方面 对 Linux 内 核 进 行 了 修改 : 在 特定 的 内 核 数 据 结构 中 加 入 
安全 域 ; 在 内 核 源 代码 中 不 同 的 关键 点 插入 对 安全 钩子 函数 的 调用 ; 加 入 一 个 通用 的 安全 
系统 调用 ; 提供 函数 允许 内 核 模 块 注册 为 LSM 安全 模块 或 者 注销 LSM 安全 模块 。 

LSM 框架 提供 对 安全 钧 子 函数 的 两 类 调用 : 一 类 管理 内 核对 象 的 安全 域 ,主要 用 于 
LSM 框架 自身 的 配置 和 管理 , 另 一 类 仲裁 对 内 核 中 各 种 资源 对 象 的 访问 ,这 是 实现 内 核 级 
安全 机 制 的 重点 。 对 安全 钧 子 函数 的 调用 通过 钧 子 (hook) 来 实现 ,钩子 是 全 局 表 security_ 
ops 中 的 函数 指针 ,这 个 全 局 表 的 类 型 是 security_operations 结构 (在 include/linux/ 
security. h 文件 中 定义 ), 这 个 结构 中 包含 了 一 系列 的 钧 子 函 数 指针 。 在 内 核 源 代码 中 很 容 
易 找 到 对 钩子 函数 的 调用 ,其 前 级 是 “security_ops 一 二 ”。 

在 内 核 引导 过 程 中 ,LSM 框架 被 初始 化 为 一 系列 的 虚拟 钩子 函数 。 当 加 载 一 个 安全 模 
块 时 ,必须 使 用 register_security() 函 数 向 LSM 框架 注册 这 个 LSM 安全 模块 ,这 个 函数 将 
设置 全 局 表 security_ops, 使 其 中 的 每 个 表 项 分 别 指向 这 个 安全 模块 中 相应 的 钧 子 函 数 ,从 
而 使 内 核 执行 至 钩子 点 时 向 这 个 安全 模块 询问 访问 控制 决策 。 一 旦 某 安全 模块 被 第 一 个 成 
功 注册 ,就 成 为 系统 的 安全 策略 决策 中 心 ,该 安全 模块 不 会 被 后 面 的 register_security() 函 
数 覆 盖 ,直到 该 安全 模块 被 使 用 unregister_security() 函 数 向 框架 注销 。 第 一 个 被 成 功 注 册 
的 安全 模块 通常 被 称 为 LSM 的 主 安全 模块 。 

另外 ,LSM 框架 还 提供 了 mod_reg_security( 〇 函数 和 mod_unreg_security() 函 数 ( 在 内 
核 源 代码 文件 security/security. c 中 定义 ) ,使 其 后 的 安全 模块 可 以 向 第 一 个 成 功 注册 的 主 
安全 模块 申请 注册 和 注销 ,最 终 的 控制 策略 实现 由 主 安全 模块 决定 , 即 主 安全 模块 按照 某 种 
既定 的 策略 来 实现 各 安全 模块 的 控制 功能 释 加 ,也 可 以 忽略 其 他 安全 模块 的 访问 判决 直接 
向 LSM 返回 自己 的 判决 。 
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2.1.4 钩子 函数 的 参数 传递 


在 基于 LSM 框架 实现 相应 的 安全 机 制 时 ,需要 特别 注意 钩子 函数 的 参数 定义 。 通 常 
钧 子 函数 在 实现 相应 的 安全 机 制 时 ,无 论 是 进行 操作 日 志 记 录 , 还 是 进行 操作 控制 ,都 需要 
用 到 操作 的 上 下 文 信息 。LSM 框架 一 般 通过 参数 的 形式 将 执行 操作 的 上 下 文 信息 传递 给 
所 注册 的 钧 子 也 数 。 

实际 上 ,LSM 框架 对 每 个 钩子 函数 的 参数 都 进行 了 明确 的 约定 ,具体 包括 参数 的 个 数 、 
每 个 参数 的 类 型 ,以 及 每 个 参数 的 含义 。 如 删除 文件 索引 结 点 ( 即 删除 文件 ) 的 钩子 点 描述 
为 int (*inode_unlink) (struct inode x* dir, struct dentry * dentry) ,表明 希望 注册 到 该 钧 
子 点 的 函数 包含 两 个 参数 ,前 一 个 指向 要 删除 文件 所 在 目录 的 索引 结 点 ,后 一 个 指向 要 删除 
文件 对 应 的 目录 项 结构 体 。 每 个 钩子 点 的 参数 声明 可 参见 内 核 源 代码 中 struct security_ 
operations 结构 体 的 定义 以 及 相关 的 注释 。 在 Linux 系统 运行 中 ,LSM 框架 会 按照 这 个 规 
范 组 织 实际 参数 ,并 将 它们 传递 给 所 注册 的 钩子 隐 数 。 

因此 ,在 设计 要 注册 的 钧 子 函 数 时 ,要 按照 LSM 框架 的 约定 来 定义 钧 子 函 数 的 形式 参 
数 ,参数 的 数目 .类 型 次序 需 与 LSM 框架 的 要 求 完全 一 致 。 不 满足 参数 格式 约定 的 钩子 
函数 在 源 程序 编译 阶段 会 受到 编译 器 的 警告 ,在 运行 阶段 ,由 于 实际 参数 和 形式 参数 不 能 做 
到 数目 .类 型 .次 序 的 逐一 对 应 ,LSM 框架 就 无 法 将 操作 上 下 文 信息 准确 无 误 地 传递 给 钩子 
函数 ,因此 钩子 函数 无 法 完成 所 需要 的 安全 功能 ,更 严重 者 会 导致 内 存 方 面 的 使 用 错误 ,其 
至 系统 崩溃 。 

钩子 函数 名 以 及 每 个 参数 符号 可 以 任意 命名 ,这 些 符号 最 终 会 被 编译 成 具体 的 符号 地 
址 ,钩子 函数 注册 和 参数 传递 时 不 会 关心 具体 的 函数 或 符号 名 称 。 


2.2 基于 LSM 的 Linux 内 核 级 安全 机 制 实现 


下 面 首先 介绍 基于 LSM 框架 实现 内 核 级 安全 机 制 的 大 致 方法 ,然后 分 别 曾 述 如 何 实 
现 控制 类 安全 机 制 .日 志 类 安全 机 制 , 以 及 加 解密 类 安全 机 制 。 


2.2.1 基于 LSM 的 内 核 级 安全 机 制 实现 概述 


利用 LSM 框架 实现 安全 机 制 , 实 际 上 就 是 基于 LSM 框架 实现 一 个 包含 相应 安全 机 制 
的 内 核 模 块 。 从 第 1 章 中 的 内 容 可 知 , 一 个 内 核 模 块 涉及 到 模块 初始 化 函数 .模块 注销 函 
数 ,模块 主体 函数 三 个 部 分 。 模 块 初始 化 函数 和 注销 函数 分 别 在 模块 加 载 和 注销 时 被 
Linux 内 核 自 动 调用 ,模块 主体 函数 完成 内 核 模块 的 具体 功能 ,在 适当 的 时 候 被 其 他 模块 和 
Linux 基本 内 核 调用 。 如 果 一 个 内 核 模块 要 基于 LSM 框架 实现 安全 机 制 ,该 内 核 模块 的 三 
个 部 分 可 进一步 细 化 为 : 

”模块 主体 函数 部 分 : 实现 一 组 安全 功能 函数 ,该 组 函数 是 内 核 模块 的 主体 。 一 般 而 

言 需要 为 每 个 (或 者 相关 ) 资 源 访问 点 对 应 的 钧 子 点 设计 一 个 安全 功能 函数 ,该 安全 
功能 函数 对 钩子 传递 来 的 操作 上 下 文 进行 处 理 , 从 而 完成 所 希望 实现 的 安全 功能 。 

。 模 块 初始 化 函数 : 将 上 面 设 计 好 的 一 组 安全 功能 函数 ,按照 对 应 的 位 置 挂 装 到 相应 
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的 钩子 点 。 当 该 内 核 模块 加 载 到 内 核 运行 时 ,该 初始 化 函数 就 能 完成 钩子 函数 的 注 
册 。 钧 子 函数 注册 后 ,如 果 Linux 系统 中 发 生 一 些 处 理 流 程 经 过 某 钩 子 点 所 在 位 置 
的 操作 ,注册 在 该 钩子 点 的 处 理 函数 就 会 被 自动 调用 。 
”模块 注销 函数 : 注销 挂 装 在 每 个 钩子 点 的 处 理 函 数 , 该 操作 对 应 钩子 点 注册 函数 的 
道 过 程 。 在 系统 动态 运行 过 程 中 ,如 果 不 再 需要 新 添加 的 内 核 模块 提供 的 安全 功 
能 ,可 以 通过 rmmod 命令 印 载 该 模块 ,其 模块 注销 函数 会 自动 执行 ,完成 钧 子 点 处 
理 函数 的 注销 过 程 。 以 后 ,Linux 系统 中 的 操作 处 理 流 程 再 经 过 钩子 点 所 在 位 置 
时 ,就 不 再 调用 曾经 注册 过 的 那些 处 理 函数 。 
LSM 安全 模块 的 主体 是 注册 到 LSM 框架 中 各 钩子 点 的 一 组 函数 , 拟 实现 的 安全 机 制 
和 功能 就 具体 体现 在 这 组 函数 中 。 根 据 LSM 框架 对 钩子 函数 的 调用 和 参数 传递 情况 ,在 
所 注册 的 钩子 函数 中 ,所 实现 的 安全 机 制 大 致 可 以 分 为 三 类 : 访问 监视 类 的 安全 机 制 ,访问 
控制 类 的 安全 机 制 , 数 据 转 换 类 的 安全 机 制 。 后 面 三 小 节 分 别 详细 阐述 基于 LSM 实现 这 
三 类 安全 机 制 的 基本 思路 。 


2.2.2 访问 监视 类 安全 机 制 的 实现 


这 里 所 说 的 访问 监视 类 安全 机 制 , 是 指 监视 和 记录 系统 中 发 生 了 哪些 与 系统 安全 有 关 
的 事件 ,这 些 事件 主要 包括 各 种 资源 访问 操作 ,以 及 各 种 系统 管理 操作 等 。 安 全 日 志 或 安全 
审计 就 是 访问 监视 类 安全 机 制 的 典型 代表 ,安全 日 志 等 访问 监视 类 安全 机 制 对 信息 安全 的 
作用 在 本 章 开 头 部 分 已 有 简单 的 介绍 ,这 里 不 再 袭 述 。 

LSM 框架 在 Linux 系统 进行 相关 的 操作 (文件 .网 络 访问 等 ) 时 ,会 自发 调用 注册 在 相 
应 钧 子 点 的 函数 ,同时 将 该 操作 的 上 下 文 信息 以 参数 的 形式 传递 给 该 钩子 函数 。LSM 安全 
模块 的 开发 者 在 该 函数 中 通过 解析 传递 进来 的 参数 ,就 可 以 知道 Linux 系统 中 正在 发 生 哪 
些 操 作 , 以 及 对 应 的 上 下 文 信息 (操作 的 主体 ,操作 的 具体 类 型 .客体 等 ) ,将 这 些 信息 记录 下 
来 ,就 能 形成 对 Linux 资源 访问 的 安全 监控 。 如 果 进 一 步 对 资源 操作 信息 进行 分 析 , 就 能 据 
此 开发 出 相应 的 审计 功能 ,甚至 实现 部 分 的 入 侵 检 测 功 能 。 著 名 的 LIDS 系统 就 是 基于 
LSM 框架 实现 的 一 个 访问 监视 类 的 安全 增强 工具 。 


2.2.3 访问 控制 类 安全 机 制 的 实现 


这 里 所 说 的 访问 控制 类 安全 机 制 , 是 指 对 系统 中 将 要 发 生 的 系统 安全 有 关 事件 (如 各 种 
资源 访问 操作 ,以 及 各 种 系统 管理 操作 等 ) 按 照 既定 的 安全 规则 进行 控制 ,拒绝 执行 不 符合 
既定 安全 规则 的 操作 。 访 问 控制 是 信息 安全 中 最 为 基础 ,也 是 最 为 常见 的 安全 机 制 ,其 基本 
概念 和 安全 作用 无 需 在 这 里 效 述 。 

LSM 框架 除了 在 进行 相关 操作 前 会 自发 调用 所 注册 的 钩子 函数 ,并 将 该 操作 的 上 下 文 
信息 以 参数 的 形式 传递 给 该 函数 外 ,LSM 框架 还 会 遵从 钩子 函数 对 该 操作 是 否 应 该 完成 的 
处 理 结果 , 即 根据 钩子 函数 的 返回 值 来 决定 是 继续 执行 还 是 拒绝 该 操作 。 基 于 LSM 框架 
的 这 种 特性 ,内 核 模 块 的 开发 者 就 可 以 在 内 核 模块 中 实现 相应 的 控制 类 安全 机 制 , 基 本 思路 
为 : 在 钩子 函数 中 ,通过 解析 LSM 框架 传人 的 参数 获知 Linux 系统 中 要 进行 的 操作 ,按照 
既定 的 安全 规则 形成 访问 判决 ,然后 将 该 访问 判决 以 函数 返回 值 的 形式 返回 给 LSM 框架 ， 
LSM 框架 就 会 执行 所 形成 的 访问 判决 , 即 继续 执行 或 拒绝 执行 该 操作 。 目 前 多 数 Linux 相 


第 2 章 Linux 内 核 级 安全 机 制 实现 解析 23 


关 的 安全 增强 系统 ,如 SELinux、RSBAC 等 ,都 基于 LSM 框架 实现 了 访问 控制 类 的 安全 
机 制 。 


2.2.4 数据 转换 类 安全 机 制 的 实现 


这 里 所 说 的 数据 转换 类 安全 机 制 ,是 指 对 系统 中 将 要 发 生 的 与 系统 安全 有 关 的 资源 访 
问 操 作 进行 数据 转换 处 理 。 最 为 常见 的 、 需 要 对 数据 进行 转换 的 资源 访问 操作 是 数据 的 加 
密 和 解密 ,如 对 写 入 到 文件 中 的 数据 进行 加 密 处 理 , 或 者 对 发 送 到 网 络 的 应 用 数据 进行 加 密 
处 理 等 。 

通常 对 数据 加 密 是 为 了 数据 存储 和 传输 的 安全 性 。 因 此 在 操作 系统 中 ,加 密 操作 通常 
发 生 在 相应 的 系统 操作 之 前 ,如 对 写 入 到 文件 中 的 内 容 进行 加 密 处 理 ,加 密 操作 显然 需要 在 
写 入 文件 前 。 而 数据 解密 则 相反 ,需要 发 生 在 系统 操作 之 后 ,如 在 加 密 文 件 的 内 容 读 出 后 ， 
将 读 出 的 内 容 交 给 应 用 程序 前 完成 解密 处 理 。 

不 难看 出 ,加 密 处 理 的 时 间 点 与 进行 访问 控制 的 时 间 点 是 一 致 的 ,都 需要 在 操作 实际 发 
生前 完成 。LSM 框架 在 系统 进行 相关 操作 前 ,会 自发 调用 所 注册 的 钩子 函数 ,并 将 该 操作 
的 上 下 文 信息 以 参数 的 形式 传递 给 该 函数 。 在 有 些 情况 下 ,相关 操作 的 上 下 文 信息 参数 中 
包含 所 涉及 到 的 数据 缓冲 区 ,LSM 安全 模块 就 可 以 对 该 数据 缓冲 区 中 的 内 容 进 行 加 密 
处 理 。 

解密 操作 通常 发 生 实际 操作 之 后 ,这 就 需要 LSM 框架 提供 相应 操作 完成 后 的 钩子 点 。 
LSM 框架 设计 时 主要 考虑 到 用 于 实现 访问 控制 类 的 安全 机 制 , 操 作 完 成 后 的 钓 子 点 比较 
少 , 只 覆 六 了 寥寥 的 几 个 操作 。 因 此 ,基于 LSM 框架 实现 数据 解密 存在 较 大 的 局 限 性 。 


2.3 Linux 系统 调用 重 载 技术 


系统 调用 是 操作 系统 对 应 用 程序 提供 的 服务 接口 .是 获得 系统 操作 相关 信息 以 及 进行 
操作 控制 和 操作 记录 的 理想 之 处 ,很 多 安全 机 制 是 以 系统 调用 的 方式 实现 的 。 如 果 需 要 在 
所 开发 的 内 核 模块 内 获知 系统 调用 中 所 发 生 操 作 的 具体 信息 ,及 进行 相应 的 控制 和 记录 ， 
Linux 中 的 系统 调用 重 载 是 最 常用 的 开发 技术 。 

本 书 第 1 章 (1.4 节 和 1.5 节 ) 详 细 阐述 了 系统 调用 的 原理 以 及 在 Linux 操作 系统 中 的 
实现 技术 ,下 面 在 此 基础 上 介绍 如 何 实现 Linux 系统 调用 的 重 载 。 


2.3.1 系统 调用 重 载 的 概念 


对 一 个 系统 调用 来 说 ,其 具体 的 服务 功能 由 相应 的 系统 调用 处 理 函 数 完成 ,而 系统 调用 
与 其 处 理 函 数 之 间 的 关系 由 系统 调用 入 口 地 址 表决 定 。 如 果 修 改 系 统 调用 入 口 地 址 表 的 某 
个 表 项 ,将 另外 一 个 新 函数 的 入 口 地 址 写 入 该 表 项 ,那么 在 执行 相应 的 系统 调用 时 ,Linux 
系统 会 自动 调用 该 新 函数 。 这 里 将 这 种 操作 称 为 系统 调用 的 重 载 , 即 重新 实现 系统 调用 的 
处 理 函 数 , 有 些 文献 中 将 其 称 为 系统 调用 截获 或 者 系统 调用 劫持 。 

实现 系统 调用 的 重 载 有 两 种 基本 思路 : 静态 实现 和 动态 实现 。 项 态 实现 就 是 直接 修改 
Linux 操作 系统 的 源 代码 ,如 要 重 载 打开 文件 的 系统 调用 open ,首先 实现 一 个 新 的 函数 , 然 
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后 修改 系统 调用 入 口 地 址 表 的 源 代码 , 即 在 入 口 地 址 表 中 找到 相应 的 位 置 , 写 入 新 函数 的 入 
口 地 址 (实际 上 就 是 函数 名 ) ,以 蔡 代 原来 的 处 理 函数 。 静 态 实现 需要 修改 操作 系统 的 源 代 
码 ,要 求 开 发 者 具有 编译 和 定制 内 核 的 能 力 ,而 且 实 现 比较 复杂 ,难度 也 较 高 。 下 文 的 开发 
实践 采用 动态 重 载 的 方式 ,静态 重 载 的 方式 这 里 不 再 详 述 , 有 兴趣 的 话 可 以 参看 相关 文献 。 

系统 调用 重 载 的 动态 实现 是 在 Linux 系统 的 运行 过 程 中 实现 系统 调用 的 重 载 ,该 方法 
无 需 重新 启动 Linux 操作 系统 ,更 无 需 重 新 编译 操作 系统 源 代 码 。 由 于 Linux 支持 动态 内 
核 模块 机 制 ,可 以 在 系统 运行 过 程 中 加 载 新 的 内 核 模块 ,系统 调用 重 载 的 动态 实现 是 以 内 核 
模块 的 形式 进行 的 。 在 完成 系统 调用 重 载 的 内 核 模块 中 实现 一 个 新 函数 ,并 在 该 内 核 模块 
的 初始 化 过 程 中 ,从 系统 调用 入 口 地址 表 中 找到 被 重 载 系统 调用 对 应 表 项 , 写 人 新 函数 的 人 
口 地 址 。 

本 书 下 文中 的 系统 调用 重 载 除 特 别 指明 外 , 均 指 动态 的 系统 调用 重 载 。 


2.3.2 系统 调用 重 载 的 实现 技术 


在 实现 动态 的 系统 调用 重 载 过 程 中 ,需要 知道 系统 调用 入 口 地址 表 在 内 存 中 的 位 置 , 即 
其 首 地 址 。 在 Linux 操作 系统 的 早期 版 本 中 ,系统 调用 入 口 地 址 表 是 作为 一 个 外 部 符号 导 
出 的 ,内 核 模块 可 以 直接 访问 系统 调用 入 口 地址 表 。 

在 新 版 的 Linux 系统 (2.6 版 本 以 后 ) 中 ,Linux 不 再 导出 系统 调用 入 口 地 址 表 , 因 此 内 
核 模 块 不 能 再 顺利 地 访问 到 系统 调用 入 口 地 址 表 。 实 际 上 ,基于 Linux 系统 调用 的 实现 原 
理 和 方法 ( 见 1.5 节 ), 可 以 间接 获得 系统 调用 入 口 地 址 表 , 基 本 方法 和 流程 为 : 

(1) 获得 中 断 向 量 表 的 起 始 地 址 。 这 在 x86 下 的 Linux 系统 中 能 够 方便 获得 ,因为 在 
CPU 中 有 一 个 IDT 寄存 器 , 即 中 断 描述 表 ( 或 中 断 向 量 表 ) 寄 存 器 ,访问 该 寄存 器 就 可 以 获 
得 中 断 向 量 表 的 起 始 地 址 。 由 于 运行 在 系统 态 ,内 核 模 块 能 够 访问 IDT 寄存 器 。 

(2) 获得 系统 调用 总 人 口 函 数 ( 即 x80 中 断 处 理 函 数 ) 地 址 。 获 得 中 断 向 量 表 的 起 始 地 
址 后 ,加 上 x80* 8 的 偏 移 量 (每 个 向 量 占 8 个 字 节 ) ,就 可 以 获得 x80 中 断 的 入 口 函 数 地 址 。 
x80 是 实现 系统 调用 的 特殊 中 断 ,该 入 口 函 数 即 为 系统 调用 总 入 口 函 数 。 

(3) 在 系统 调用 总 入 口 函数 的 代码 段 中 ,查找 系统 调用 入 口 地 址 表 的 首 地 址 。 在 系统 
调用 总 入 口 函 数 的 指令 代码 中 ,有 访问 系统 调用 入 口 地 址 表 的 一 条 指令 ,其 对 应 的 汇编 语句 
为 call * sys_call_table(,%eax,4)( 可 参见 Linux 的 内 核 源 代码 arch/i386/kernel/ entry. S) ,该 
条 语句 是 根据 系统 调用 号 调用 对 应 的 系统 调用 处 理 函数 ,变量 sys_call_table 即 为 系统 调用 
入 口 地 址 表 的 起 始 地 址 ,寄存 器 eax 保存 了 当前 要 调用 的 系统 调用 号 。call 指令 的 指令 码 
为 十 六 进 制 的 FF1485 ,在 系统 调用 总 人 口 函 数 的 代码 段 中 先 查 到 该 指令 码 的 位 置 ,其 后 的 
内 容 即 为 系统 调用 入 口 地 址 表 的 起 始 地 址 。 

(4) 重 载 系统 调用 处 理 函 数 入 口 地 址 。 在 获得 系统 调用 入 口 地 址 表 的 起 始 地 址 后 , 根 
据 要 重 载 的 系统 调用 编号 ,计算 出 待 重 载 系 统 调用 在 系统 调用 入 口 地 址 表 中 的 表 项 位 置 , 在 
此 位 置 写 入 新 处 理 函 数 的 入 口 地 址 即 可 。 


2.3.3 系统 调用 重 载 中 的 参数 传递 


在 系统 调用 的 重 载 中 ,需要 重点 关注 系统 调用 的 参数 。 就 每 个 具体 的 系统 调用 而 言 , 操 
作 系 统 都 要 有 固定 的 参数 约定 ,具体 包括 参数 的 个 数 ,每 个 参数 的 类 型 ,以 及 每 个 参数 的 含 
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义 。 如 读 文件 系统 调用 ,其 原型 为 int read(int fd, char * buf, int len) ,这 表明 该 系统 调用 
有 三 个 参数 ,第 一 个 参数 是 整数 型 的 文件 描述 符 , 表 示 从 这 个 文件 中 读数 据 ,第 二 个 参数 是 
字符 型 指针 指向 的 数据 缓冲 区 ,从 文件 中 读 出 的 数据 将 会 放 入 到 该 缓冲 区 中 ,第 三 个 参数 是 
整数 型 的 长 度 值 ,表示 这 次 从 文件 中 读 出 数据 的 长 度 。 

这 种 参数 约定 一 方面 要 求 应 用 程序 按 这 个 参数 格式 来 激发 相应 的 系统 调用 ,不 满足 这 
个 参数 格式 约定 的 系统 调用 可 能 连 源 程序 编译 都 通 不 过 。 另 一 方面 ,系统 调用 的 处 理 函 数 
也 要 满足 这 个 参数 格式 约定 ,这 样 在 系统 调用 发 生 时 ,Linux 内 核 在 系统 调用 入 口 地 址 表 中 
找到 该 系统 调用 所 对 应 的 处 理 函 数 时 ,才能 准确 无 误 地 将 应 用 程序 中 传 来 的 实际 参数 传递 
给 系统 调用 处 理 函 数 中 的 相应 参数 。 如 果 系 统 调 用 处 理 函 数 中 定义 的 形式 参数 与 从 应 用 程 
序 中 传递 来 的 实际 参数 不 能 做 到 数量 、 类 型 及 含义 的 逐一 对 应 ,Linux 系统 就 不 能 正确 地 为 
应 用 程序 提供 服务 支持 。 实 际 上 这 与 一 般 函 数 调用 中 的 形式 参数 和 实际 参数 之 间 的 关系 是 
一 样 的 ,二 者 必须 一 致 。 

因此 在 进行 系统 调用 的 处 理 函 数 重 载 时 ,需要 特别 注意 要 重 载 的 系统 调用 的 参数 情况 。 
为 重 载 某 个 系统 调用 定义 新 的 处 理 函 数 时 ,其 形式 参数 要 与 该 系统 调用 原 处 理 函 数 的 形式 
参数 在 参数 数量 和 类 型 上 完全 一 致 。 如 要 重 载 read 系统 调用 , 原 处 理 函 数 的 原型 为 int 
read(int fd, char * buf, int len) ,新 定义 的 read 系统 调用 处 理 函 数 也 要 有 相同 的 参数 。 这 
里 只 是 要 求 参数 的 数目 、 类 型 及 次 序 完 全 一 致 ,至 于 形式 参数 的 符号 名 无 所 谓 是 否 一 致 。 

某 系 统 调用 的 处 理 函 数 被 重 载 后 ,一 旦 应 用 程序 调用 了 该 系统 调用 ,Linux 内 核 会 依据 
系统 调用 入 口 地 址 表 的 内 容 , 自 动 调用 重 载 后 的 处 理 函 数 , 准 确 无 误 地 将 应 用 程序 中 传 来 的 
实际 参数 传递 给 重 载 后 的 系统 调用 处 理 函 数 。 实 际 上 ,在 某 系 统 调用 的 处 理 过 程 中 ,Linux 
内 核 只 是 按照 系统 调用 入 口 地 址 表 中 的 处 理 函 数 入 口 地 址 ,调用 相应 的 系统 调用 处 理 函 数 ， 
其 既 不 知道 也 不 关心 该 函数 是 原 有 的 处 理 函 数 还 是 重 载 后 的 处 理 函 数 。 


2.4 基于 系统 调用 重 载 的 内 核 级 安全 机 制 实现 


2.4.1 基于 系统 调用 重 载 的 内 核 级 安全 机 制 实现 概述 


利用 系统 调用 重 载 技术 实现 Linux 内 核 级 安全 机 制 ,实际 上 就 是 基于 系统 调用 重 载 技 
术 实 现 包含 相应 安全 机 制 的 内 核 模块 。 相 应 地 ,该 内 核 模块 也 涉及 到 三 个 部 分 : 模块 初始 
化 函数 ,模块 注销 函数 ,以 及 模块 主体 函数 。 前 两 者 分 别 在 模块 加 载 和 注销 时 被 Linux 内 核 
自动 调用 ,后 者 在 适当 的 时 候 被 其 他 模块 和 Linux 内 核 调 用 。 这 三 部 分 的 具体 功能 为 ， 
”模块 主体 函数 部 分 : 实现 一 组 安全 机 制 函 数 。 该 组 函数 是 内 核 模 块 的 主体 ,每 个 函 
数 分 别 对 应 需要 重 载 的 系统 调用 。 在 系统 调用 执行 过 程 中 ,Linux 内 核 会 将 上 下 文 
信息 ( 即 系统 调用 的 实际 参数 ) 以 参数 的 形式 传递 给 这 些 函 数 ,这 些 函 数 基于 传递 来 
的 操作 上 下 文 进行 处 理 , 从 而 完成 所 希望 实现 的 安全 机 制 。 
。 模 块 初始 化 函数 : 将 上 面 设 计 好 的 一 组 处 理 函 数 的 入 口 地 址 写 入 到 系统 调用 入 口 
地 址 表 中 的 相应 位 置 。 当 该 模块 加 载 到 内 核 时 ,该 初始 化 函数 就 能 完成 相关 的 系统 
调用 的 重 载 。 重 载 完 成 后 ,应 用 程序 一 旦 进行 系统 调用 ,Linux 内 核 就 会 自动 调用 
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该 模块 中 的 相应 函数 ,同时 将 系统 调用 的 上 下 文 信息 传递 给 该 函数 。 
。 模 块 注销 函数 : 重新 修改 系统 调用 入 口 地 址 表 , 将 重 载 过 的 表 项 恢复 成 原 有 的 系统 
调用 处 理 函数 入 口 地 址 ,这 相当 于 系统 调用 重 载 的 逆 过 程 。 当 不 需要 内 核 模块 提供 
的 安全 功能 时 ,可 通过 rmmod 命令 印 载 该 模块 .这 时 模块 注销 函数 会 自动 执行 , 恢 
复 系统 调用 的 原 有 处 理 函 数 。 这 样 , 在 应 用 程序 再 次 发 生 系统 调用 时 ,那些 曾经 重 
载 到 系统 调用 入 口 地 址 表 中 的 处 理 函数 就 不 再 被 调用 。 
这 里 值得 注意 的 是 ,一 旦 完成 系统 调用 的 重 载 ,在 发 生 相应 的 系统 调用 后 ,Linux 内 核 
就 不 再 调用 原来 的 系统 调用 处 理 函 数 。 这 意味 着 ,为 保证 系统 调用 功能 实现 的 正确 性 ,在 内 
核 模 块 中 用 于 重 载 系统 调用 的 处 理 函 数 不 仅 要 实现 相应 的 安全 机 制 , 还 需要 为 调用 该 系统 
调用 的 应 用 程序 提供 相应 的 服务 。 如 用 一 个 新 函数 myread 重 载 read 系统 调用 的 处 理 函 
数 ,在 myread 函数 中 还 需要 完成 read 系统 调用 的 服务 功能 ,即将 指定 文件 中 的 内 容 读 到 指 
定 的 缓冲 区 ,否则 应 用 程序 再 也 不 能 通过 调用 read 系统 调用 来 完成 文件 内 容 的 读 取 。 在 实 
际 开 发 中 ,以 损害 操作 系统 服务 功能 来 实现 安全 机 制 是 不 可 行 的 。 
尽管 在 重 载 的 系统 调用 处 理 函数 中 需要 实现 对 应 的 服务 功能 ,实际 的 内 核 模块 开发 者 
在 实现 系统 调用 重 载 时 ,通常 采用 的 是 一 种 简便 的 方法 , 即 在 该 函数 中 的 适当 位 置 调用 该 系 
统 调 用 的 原 处 理 函 数 。 这 需要 在 重 载 系统 调用 前 ,记录 下 该 系统 调用 原 处 理 函数 的 入 口 地 
址 。 事 实 上 ,在 内 核 模块 初始 化 时 必需 记录 系统 调用 原 处 理 函 数 的 入 口 地 址 ,因为 在 内 核 模 
块 注销 时 需要 使 用 该 入 口 地 址 完成 对 系统 调用 入 口 地 址 表 的 恢复 。 另 外 ,为 了 正确 告诉 应 
用 程序 其 通过 系统 调用 请 求 的 操作 是 否 已 正确 执行 等 ,用 于 重 载 系统 调用 的 处 理 函数 需要 
调用 原 处 理 函数 ,将 其 返回 值 作为 自己 的 返回 值 .返回 给 应 用 程序 。 从 这 里 不 难看 出 ,系统 
调用 重 载 的 本 质 相当 于 在 原 处 理 函 数 外 面 加 了 一 个 实现 安全 机 制 的 “外 过 ”, 并 不 会 改变 其 
对 应 系统 服务 的 实现 过 程 。 
综 上 所 述 , 用 于 重 载 系统 调用 的 处 理 函数 是 该 内 核 模块 的 主体 , 拟 实现 的 安全 机 制 和 服 
务 功能 就 体现 在 这 组 函数 (下 文 称 之 为 安全 机 制 函数 ) 中 。 同 基于 LSM 框架 的 安全 模块 中 
的 钧 子 函数 类 似 , 这 组 函数 所 实现 的 安全 机 制 大 致 也 可 分 为 三 类 : 访问 监视 类 的 安全 机 制 ， 
访问 控制 类 安全 机 制 ,以 及 数据 转换 类 安全 机 制 。 下 面 分 别 阐述 这 三 类 安全 机 制 的 基本 实 
现 思 路 。 


2.4.2 访问 监视 类 安全 机 制 的 实现 


完成 系统 调用 重 载 后 ,每 当 应 用 程序 执行 系统 调用 时 ,内核 模 块 中 用 来 重 载 系统 调用 的 
安全 机 制 函 数 就 会 被 自动 调用 ,同时 系统 将 该 操作 的 上 下 文 信息 以 参数 的 形式 传递 给 该 函 
数 。 在 该 函数 中 ,通过 解析 传递 进来 的 参数 ,就 可 以 知道 应 用 程序 请 求 系统 执行 什么 样 的 操 
作 。 男 一 方面 ,该 函数 还 要 调用 系统 调用 的 原 处 理 函 数 ,以 实现 应 用 程序 请 求 的 系统 服务 ， 
通过 分 析 原 处 理 函 数 的 返回 值 ,就 可 以 知道 应 用 程序 请 求 的 操作 是 否 被 成 功 执行 。 将 系统 
调用 请 求 对 应 的 上 下 文 信息 (操作 的 主体 .操作 的 具体 类 型 、 操 作 的 客体 等 ) 以 及 请 求 是 否 成 
功 等 信息 记录 下 来 ,就 能 形成 Linux 资源 访问 的 日 志 记 录 。 


2.4.3 访问 控制 类 安全 机 制 的 实现 
同 实 现 监视 类 安全 机 制 一 样 ,每 当 应 用 程序 执行 系统 调用 ,内 核 模 块 中 用 来 重 载 系统 调 
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用 的 相应 安全 机 制 函 数 就 会 被 自动 调用 。 在 该 函数 中 ,解析 传递 进来 的 参数 ,就 可 以 知道 应 
用 程序 请 求 执行 的 操作 ,然后 基于 请 求 的 上 下 文 信息 , 按 照 既定 的 安全 规则 形成 访问 判决 ， 
最 后 根据 判决 结果 采取 不 同 的 措施 , 即 对 允许 执行 的 操作 ,调用 原 处 理 函 数 继续 执行 所 请 求 
的 操作 ,对 拒绝 执行 的 操作 ,不 再 调用 原 处 理 函 数 ,直接 退出 该 函数 回 至 应 用 层 即 可 。 

在 安全 机 制 函数 的 实现 中 ,需要 注意 该 函数 的 返回 值 。 如 果 形 成 的 判决 为 许可 ,那么 直 
接 将 调用 原 处 理 函 数 所 得 到 的 返回 值 作为 自己 的 返回 值 , 将 其 返回 给 应 用 程序 。 如 果 形 成 
的 判决 为 拒绝 ,由 于 不 再 调用 原 处 理 函 数 , 这 就 要 求 自己 生成 返回 值 。 通 常 系统 调用 的 返回 
值 有 具体 含义 ,在 进行 相应 开发 前 ,可 以 通过 查阅 该 系统 调用 的 文档 说 明 , 了 解 不 同 返 回 值 
的 具体 含义 ,选取 一 个 含义 为 “操作 不 允许 ”或 “操作 执行 失败 ”的 值 作为 该 函数 的 返回 值 。 
否则 如 果 随 便 返 回 一 个 值 ,可 能 会 误导 应 用 程序 ,应 用 程序 可 能 会 根据 返回 值 做 不 同 的 处 
理 ,从 而 导致 应 用 程序 的 运行 错误 。 如 原 open 系统 调用 返回 值 的 约定 是 正 整数 表示 文件 成 
功 打开 后 的 文件 描述 符 , 值 一 1 表示 文件 打开 失败 ,因而 重 载 open 系统 调用 也 需 遵循 该 约 
定 。 如 果 安 全 机 制 函 数 中 形成 的 判决 为 拒绝 ,没有 调用 原 处 理 函 数 执行 文件 打开 操作 , 且 返 
回 给 应 用 程序 一 个 正 整数 ,这 相当 于 “欺骗 "了 应 用 程序 ,应 用 程序 将 该 正 整 数 作为 文件 描述 
符 进行 后 继 处 理 , 可 能 会 出 现 运行 错误 。 


2.4.4 数据 转换 类 安全 机 制 的 实现 


下 面 以 文件 操作 的 加 密 和 解密 为 例 ,阐述 基于 系统 调用 重 载 技术 来 实现 数据 转换 类 的 
安全 机 制 。 文 件 操作 的 加 解密 对 应 一 个 应 用 层 透明 的 加 解密 机 制 : 在 应 用 程序 执行 write 
系统 调用 时 ,在 数据 写 人 文件 前 先 将 数据 进行 加 密 ; 在 应 用 程序 执行 read 系统 调用 时 ,在 
将 数据 从 文件 读 出 后 、 交 给 应 用 程序 前 ,实现 相应 的 解密 操作 。 

数据 加 密 需要 发 生 在 文件 写 入 操作 实际 执行 前 。 不 难看 出 ,加 密 处 理 的 时 间 点 与 进行 
访问 控制 的 时 间 点 是 一 致 的 ,都 需要 在 操作 实际 发 生前 完成 。write 系统 调用 的 参数 中 有 指 
向 写 人 数据 的 缓冲 区 指针 ,也 就 是 在 重 载 的 处 理 函 数 中 可 以 访问 到 要 写 入 的 数据 ,因此 只 要 
对 缓冲 区 中 的 这 些 数据 进行 加 密 处 理 , 然 后 再 调用 原 处 理 函 数 完 成 实际 的 文件 写 入 操作 即 可 。 

数据 解密 操作 发 生 在 数据 从 文件 中 读 出 之 后 ,这 要 求 在 重 载 的 处 理 函 数 中 首先 调用 原 
处 理 函 数 实现 文件 内 容 的 读 取 , 读 取 完 成 后 再 对 保存 在 缓冲 区 的 读 出 数据 进行 解密 处 理 , 处 
理 完成 之 后 再 返回 到 应 用 程序 。 

本 节 详 细 站 述 了 基于 系统 调用 重 载 技术 实现 Linux 内 核 级 安全 机 制 的 主要 思路 和 方 
法 ,细心 的 读者 可 能 会 发 现 系 统 调 用 重 载 技术 的 负面 效果 。 实 际 上 ,系统 调用 重 载 也 给 黑客 
提供 了 在 操作 系统 层面 上 操控 计算 机 系统 的 一 种 技术 手段 ,甚至 可 以 看 成 是 一 种 高 级 木马 
技术 ,能够 对 上 层 应 用 程序 发 起 各 种 形式 的 安全 攻击 。 如 通过 截获 Web 服务 器 的 系统 调 
用 ,分 析出 该 服务 器 的 帐户 信息 等 。 


2.5 基于 LSM 的 文件 访问 控制 实现 解析 


本 章 前 面 已 经 详细 阐述 了 两 种 重要 的 内 核 级 安全 机 制 实现 技术 ,以 及 基于 这 两 种 实现 
技术 进行 内 核 安全 功能 开发 的 基本 思路 和 方法 。 从 中 可 以 看 出 ,无 论 是 以 重 载 系统 调用 处 
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理 函 数 的 方式 还 是 以 LSM 安全 模块 的 方式 ,都 能 截获 文件 相关 的 操作 。 截 获 文件 相关 的 
操作 后 , 既 可 对 相应 的 文件 操作 进行 控制 ,也 可 对 该 文件 操作 进行 记录 。 

为 了 分 别 展示 这 两 种 安全 开发 技术 在 具体 开发 实践 中 的 应 用 ,本 书 结合 实例 阐述 文件 
访问 控制 和 文件 访问 监视 安全 功能 开发 实践 时 ,刻意 采用 不 同 的 开发 技术 , 即 采用 LSM 机 
制 实现 文件 访问 控制 ,采用 系统 调用 重 载 实现 文件 访问 日 志 。 因 此 所 对 应 的 两 个 开发 实例 
在 本 书 中 分 别称 为 “基于 LSM 的 文件 访问 控制 "和 * 基 于 系统 调用 重 载 的 文件 访问 日 志 ”。 
本 节 和 下 节 分 别 介绍 这 两 个 开发 实例 的 实现 思路 和 方法 ,在 本 书 第 二 部 分 “开发 实践 篇 ”( 见 
第 8.9 章 ) 中 详细 介绍 这 两 个 实例 的 原型 系统 开发 过 程 。 


2.5.1 原 有 文件 访问 控制 机 制 概述 


访问 控制 是 操作 系统 中 最 为 重要 的 安全 功能 ,在 多 用 户 系统 中 ,操作 系统 通过 访问 控制 
机 制 实现 多 个 用 户 间 的 数据 和 访问 权限 的 分 离 。 在 Linux 系统 中 ,访问 控制 是 根据 访问 的 
主体 和 控制 的 客体 之 间 的 关系 来 决定 主体 是 否 具有 访问 客体 的 权限 。 传 统 的 访问 控制 技术 
根据 进程 用 户 的 相关 属性 来 判断 进程 的 操作 权限 。 

具体 到 Linux 系统 中 的 文件 访问 控制 而 言 ,Linux 中 的 每 个 文件 都 对 应 一 个 用 户主 标 
识 (UID) 和 一 个 用 户 组 标识 (GID) ,通常 Linux 将 创建 文件 的 用 户 默 认为 该 文件 的 用 户主 ， 
将 该 用 户 所 在 的 组 默认 为 该 文件 的 组 标识 。 基 于 文件 的 用 户主 标识 和 用 户 组 标识 ,可 将 访 
问 该 文件 的 所 有 用 户 分 为 三 类 : 同 主 用 户 , 即 与 文件 主 具有 相同 的 用 户 标识 ; 同 组 用 户 , 即 
与 文件 的 用 户 组 具有 相同 的 组 标识 ; 其 他 用 户 , 即 不 与 文件 具有 相同 的 主 标识 和 组 标识 的 
用 户 。Linux 采用 9 个 权限 位 来 表示 各 种 不 同类 型 用 户 的 访问 权限 ,分 为 三 组 ,分 别 对 应 三 
类 用 户 ( 同 主 用 户 、 同 组 用 户 以 及 其 他 用 户 ) 的 访问 权限 。 每 组 三 个 权限 位 ,分 别 表示 读 、 写 、 
执行 三 种 类 型 的 访问 权限 。 

Linux 系统 中 现 有 的 访问 控制 机 制 只 描述 了 用 户 对 系统 资源 的 访问 权限 ,没有 进一步 
准确 指明 用 户 执行 的 每 个 程序 应 该 享有 该 用 户 的 哪些 权限 ,而 是 默认 用 户 执 行 的 每 个 程 
序 都 能 享有 该 用 户 的 所 有 权限 。 这 种 授权 方式 意味 着 用 户 把 自己 的 所 有 权限 都 赋予 所 
启动 的 进程 ,进程 代码 可 以 任意 访问 该 用 户 所 能 使 用 的 资源 ,任意 进行 该 用 户 所 能 执行 
的 操作 。 

如 果 用 户 所 运行 的 程序 都 是 善意 的 、 可 靠 的 , 即 这 些 程序 不 执行 任何 恶意 的 操作 ， 
Linux 系统 中 的 这 种 授权 机 制 是 合理 的 。 但 是 一 旦 用 户 ( 尤 其 是 管理 员 用 户 ) 有 意 或 无 意 地 
运行 了 恶意 程序 ,该 恶意 程序 就 能 使 用 该 用 户 的 权限 为 所 欲 为 。 为 了 保护 系统 中 的 重要 文 
件 不 被 非法 访问 ,如 防止 系统 中 的 配置 文件 被 有 意 或 无 意 地 删除 ,对 特定 文件 进行 特殊 的 安 
全 保护 是 很 有 实际 意义 的 ,如 禁止 删除 系统 配置 文件 等 。 


2.5.2 基于 LSM 的 文件 访问 控制 实现 结构 


要 实现 文件 访问 控制 的 安全 增强 ,需要 截获 系统 所 执行 的 各 种 文件 操作 。 现 有 Linux 
系统 中 的 LSM 框架 对 文件 访问 提供 了 比较 全 面 的 支持 ,在 各 种 文件 操作 (如 打开 、 读 、 写 、 
执行 等 ) 前 都 设置 了 相应 的 钩子 点 ,内核 模 块 可 以 在 这 些 钩 子 点 处 注册 相应 的 钩子 函数 。 通 
过 向 LSM 框架 注册 钧 子 函数 ,不 仅 可 知道 Linux 系统 将 要 进行 哪些 文件 访问 相关 的 操作 ， 
而 且 可 以 通过 钧 子 函 数 返回 不 同 的 值 ,来 告知 LSM 框架 对 截获 的 文件 访问 操作 是 继续 完 
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成 还 是 拒绝 执行 。 

在 钩子 函数 中 ,如 果 按 照 既定 的 文件 访问 控制 规则 ,并 基于 每 次 文件 访问 操作 的 上 下 文 
信息 ,对 该 次 文件 操作 形成 相应 的 访问 判决 ,然后 将 判决 结果 以 钩子 函数 返回 值 的 形式 返回 
给 LSM 框架 ,LSM 框架 就 会 实现 相应 的 文件 访问 控制 。 这 相当 于 能 够 让 Linux 内 核 按照 
LSM 安全 模块 中 的 安全 规则 进行 文件 访问 控制 。 

在 钧 子 函数 中 ,要 对 某 次 具体 的 文件 访问 操作 形成 相应 的 访问 判决 ,需要 两 个 前 提 条 
件 。 一 个 是 获得 相关 文件 操作 的 上 下 文 信息 ,如 操作 类 型 是 打开 、 读 ,还 是 写 ,操作 主体 是 哪 
个 用 户 或 哪个 进程 ,以 及 具体 对 哪个 文件 进行 操作 等 。 在 形成 访问 决策 前 ,需要 对 这 些 信 息 
进行 收集 和 分 析 。 通 常 LSM 框架 在 调用 钩子 函数 时 ,会 将 这 次 文件 操作 相关 的 上 下 文 信 
息 以 参数 的 形式 传递 给 钧 子 函 数 , 然 而 这 些 上 下 文 信息 一 般 是 不 全 面 的 ,还 需要 钧 子 函数 通 
过 访问 Linux 内 核 的 其 他 资源 (如 导出 的 函数 或 变量 等 ) 来 获得 其 他 的 一 些 上 下 文 信息 。 如 
文件 操作 的 主体 信息 就 不 能 从 钩子 函数 的 参数 中 获得 ,需要 访问 Linux 内 核 中 的 进程 控制 
块 结构 获取 。 

另 一 个 是 确定 具体 的 访问 控制 规则 , 即 按照 什么 控制 逻辑 或 规则 对 某 次 文件 访问 操作 
形成 访问 判决 。 对 于 实用 的 文件 访问 控制 技术 而 言 ,显然 不 能 将 控制 的 逻辑 或 规则 固化 在 
所 实现 的 LSM 安全 模块 中 ,这 就 涉及 到 访问 控制 规则 的 设置 。 因 此 要 实现 基于 LSM 框架 
的 文件 访问 控制 ,除了 开发 一 个 LSM 安全 模块 外 ,还 需要 有 访问 控制 规则 配置 程序 等 。 

访问 控制 规则 配置 程序 为 安全 管理 员 提 供 访问 控制 规则 的 配置 界面 ,管理 员 可 以 通过 
此 界面 设置 相应 的 访问 控制 规则 , 即 哪 些 程序 能 够 访问 哪些 文件 ,而 哪些 程序 不 能 访问 哪些 
文件 等 。 通 过 1.6 节 的 介绍 可 知 , 访 问 控 制 规则 配置 程序 不 能 与 内 核 层 的 钓 子 函数 直接 交 
互 , 因 此 需要 采用 一 定 的 技术 措施 (具体 可 参见 1.6 节 ) 将 规则 信息 传递 到 Linux 内 核 层 的 
缓冲 区 中 ,以 便于 在 Linux 内 核 模块 中 形成 访问 判决 。 另 外 ,访问 控制 规则 配置 程序 最 好 对 
所 配置 的 规则 保存 一 份 副本 ,以 便于 重启 系统 后 ,不 用 再 麻烦 管理 员 重 复 配 置 相同 的 访问 控 
制 规则 。 

LSM 框架 下 文件 访问 控制 的 逻辑 结构 和 运行 原理 大 致 如 图 2-1 所 示 。 


安全 符 理 风 
访问 控制 规则 
访问 控制 规则 文件 配置 程序 
应 用 层 
FRR 内 核 层 
LSM Hook)—{ Li 
框架 Ls 1 返 4 
Hooka0 .…- 


图 2-1 LSM 框架 下 文件 访问 控制 的 逻辑 结构 和 运行 原理 


对 应 本 节 内 容 , 本 书 第 二 部 分 “开发 实践 篇 ?将 展示 基于 LSM 的 文件 访问 控制 开发 实 
践 以 及 其 原型 系统 的 具体 实现 过 程 。 
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2.6 基于 系统 调用 重 载 的 文件 访问 日 志 实 现 解析 


下 面 首先 简单 介绍 Linux 原 有 的 日 志 系 统 ,然后 详细 解析 如 何 基 于 系统 调用 重 载 技术 
实现 文件 访问 日 志 。 


2.6.1 Linux 的 日 志 系 统 概述 


操作 系统 的 安全 对 于 计算 机 系统 的 安全 具有 举足轻重 的 作用 ,而 在 操作 系统 的 诸多 安 
全 子 系统 中 ,日 志 或 审计 系统 又 为 最 后 一 道 安 全 防线 。 日 志 对 于 系统 安全 来 说 非常 重要 , 记 
录 了 系统 中 发 生 的 各 种 各 样 操作 。 通 过 日 志 能 实现 系统 审计 和 监测 功能 ,如 可 以 通过 日 志 
来 实时 监测 系统 状态 以 检查 错误 发 生 的 原因 ,或 者 在 受到 攻击 时 检测 攻击 者 留 下 的 痕迹 ,以 
监测 和 追踪 侵入 者 等 。 

在 Linux 系统 中 有 三 类 主要 的 日 志 。 一 是 系统 层 日 志 , 该 日 志 由 Linux 内 核 产 生 , 主 要 记 
录 一 些 系 统 异常 情况 以 及 系统 的 启动 过 程 ,设备 变更 情况 等 。 这 些 日 志 通 常 记录 在 /var/log/ 
messages” 中 ,管理 员 可 以 通过 查看 该 文件 ,或 者 借助 shell 命令 ( 即 dmesg) 掌 握 Linux 系统 运 
行 的 基本 情况 。 二 是 应 用 层 日 志 ,Linux 的 一 些 管理 工具 (如 login 等 ) 在 执行 一 些 操作 时 会 调 
用 库 函 数 接口 ,将 一 些 日 志 记 录 到 相应 的 日 志文 件 (*var/log/ wtmp” 和 */var/run/utmp”) 中 ， 
这 样 系统 管理 员 能 够 跟踪 到 谁 在 何 时 登录 到 系统 。 此 外 ,一 些 第 三 方 的 应 用 软件 (如 
HTTP 和 FTP 等 网 络 服务 器 等 ) 也 可 以 向 Linux 的 日 志 子 系统 汇报 日 志 , 如 网 络 服务 情况 
等 ,Linux 的 日 志 子 系统 会 将 这 些 日 志保 存在 /var/log” 目 录 下 的 相应 日 志文 件 中 。 

Linux 日 志 子 系统 只 能 被 动 地 记录 应 用 程序 发 送 来 的 日 志 信 息 , 在 应 用 程序 不 配合 的 情 
况 下 ,无 法 主动 获得 应 用 程序 的 操作 日 志 。 对 Linux 的 日 志 子 系统 而 言 ,除非 应 用 程序 主动 向 
Linux 日 志 子 系统 汇报 自己 的 操作 ,否则 应 用 程序 所 执行 的 操作 都 不 会 被 记录 下 来 ,安全 管理 
员 也 不 会 知道 该 应 用 程序 在 执行 过 程 中 进行 了 哪些 操作 。 如 果 管 理 员 要 想 知道 一 个 执行 完 或 
正在 执行 的 程序 访问 了 哪些 文件 或 删除 了 哪些 文件 ,在 目前 的 Linux 操作 系统 中 是 不 能 做 到 的 。 

显然 恶意 的 应 用 程序 在 执行 一 些 破坏 系统 安全 性 的 操作 时 ,不 可 能 将 自己 的 行为 主动 
汇报 给 Linux 日 志 子 系统 。 也 就 是 说 ,Linux 管理 员 将 无 法 得 知 恶意 程序 具体 实施 了 哪些 
破坏 行为 。 


2.6.2 基于 系统 调用 重 载 的 文件 访问 日 志 


为 增强 Linux 日 志 子 系统 的 安全 功能 ,可 实现 一 个 主动 式 的 文件 访问 日 志 , 这 样 在 任意 
应 用 程序 进行 任何 形式 的 文件 操作 时 ,都 可 对 其 行为 进行 记录 跟踪 。 

要 实现 一 个 主动 式 的 文件 访问 日 志 , 需 要 知晓 Linux 所 执行 的 各 种 文件 操作 ,通过 重 载 
文件 访问 相关 的 系统 调用 可 达到 这 一 目的 。 因 为 系统 调用 是 操作 系统 向 应 用 程序 提供 的 服 
务 接口 ,为 了 安全 性 考虑 ,操作 系统 将 影响 到 系统 安全 的 所 有 操作 都 封装 成 服务 ,并 以 系统 
调用 的 形式 提供 给 应 用 程序 使 用 。 

对 文件 访问 相关 的 系统 调用 进行 重 载 后 ,Linux 系统 中 一 旦 发 生 文件 相关 的 操作 ,系统 
会 自动 调用 所 重 载 的 安全 机 制 函数 ,并 且 将 文件 操作 的 上 下 文 信息 以 函数 参数 的 形式 传递 
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给 安全 机 制 函 数 。 安 全 机 制 函数 通过 分 析 传 递 进来 的 函数 参数 ,解析 出 Linux 系统 正在 进 
行 的 文件 访问 的 上 下 文 信息 (访问 主体 ,访问 的 文件 .文件 类 型 等 ) ,根据 这 些 访问 上 下 文 信 
息 就 能 形成 对 应 的 访问 日 志 项 ,然后 将 访问 日 志 项 记录 到 临时 的 日 志 缓冲 区 中 。 

除 对 文件 操作 相关 的 系统 调用 进行 重 载 外 ,还 需要 实现 一 个 实用 的 文件 访问 日 志 管理 
程序 ,该 程序 借助 于 Linux 提供 的 应 用 层 与 内 核 层 间 的 数据 交互 方式 (具体 可 参见 1. 6 节 )， 
从 Linux 内 核 中 的 日 志 缓 冲 区 中 读 出 临时 存放 的 日 志 记 录 , 对 这 些 日 志 记录 进行 初步 的 预 
处 理 , 然 后 形成 简洁 的 日 志 2 并 将 其 存放 在 日 志文 件 中 。 

日 志 管理 程序 对 初始 日 志 记录 的 预 处 理 主要 分 为 两 类 。 一 是 相似 日 志 信息 的 合并 ,在 

重 载 了 td 
录 项 。 如 视频 播放 程序 在 运行 中 会 不 停 地 访问 视频 文件 ,从 而 会 持续 性 生成 成 千 上 万 条 类 
似 的 日 志 记录 ,每 条 记录 除了 时 间 存 在 细微 差别 外 ,其 他 数据 完全 一 样 。 Re 
录 不 仅 无 助 于 管理 员 了 解 文件 访问 情况 ,还 会 干扰 和 分 散 管理 员 的 精力 ,因此 相似 日 志 

合并 就 显得 尤为 重要 。 二 是 不 同 信息 类 型 的 转换 ,如 将 日 志 信息 中 的 pe 
换 成 用 户 名 ,或 将 PID( 进 程 标识 符 ) 转 化 成 可 执行 程序 名 ,进行 信息 类 型 转化 后 的 日 志 记 录 
项 更 便于 管理 员 理 解 和 使 用 。 

图 2-2 给 出 了 基于 系统 调用 重 载 的 文件 访问 日 志 的 逻辑 结构 和 运行 原理 。 


安全 管 型 员 
人 
日 志文 件 | 日 志 管 理 程序 
一 -一 I 应 用 层 
! 
十 阵 
open0 … [人 数 分 析 .1 内 核 层 
* | 形成 日 志 项 ! 


read0 一 -一 


write() ~ 日 志 缓 冲 区 


内 核 模块 
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另外 ,在 进行 系统 审计 时 ,通过 直接 查看 日 志文 件 来 完成 审计 过 程 则 不 太 方便 ,如 果 能 
够 提供 良好 界面 的 日 志 浏 览 和 查询 工具 ,就 能 给 安全 管理 员 提 供 更 加 直接 的 帮助 。 界 面 程 
序 的 开发 不 是 本 书 讨论 的 重点 ,在 这 里 和 开发 实践 部 分 都 不 再 重点 介绍 , 感 兴趣 的 话 可 以 自 
己 探 讨 如 何 实现 日 志 浏 览 和 查询 工具 。 

对 应 本 节 内 容 , 本 书 的 第 二 部 分 “开发 实践 篇 ”将 展示 基于 系统 调用 重 载 的 文件 访问 日 
志 的 开发 实践 以 及 原型 系统 的 具体 实现 过 程 。 


2.7 本 章 小 结 


对 Linux 内 核 而 言 ,访问 控制 和 系统 日 志 是 最 为 重要 的 两 类 安全 机 制 ,前 者 能 有 效 地 防 
止 应 用 程序 执行 非法 操作 、 恶 意 使 用 资源 等 ,后 者 记录 各 种 安全 相关 的 操作 ,便于 发 现 系 统 
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安全 漏洞 ,以 及 在 发 生 安全 事件 后 进行 事后 追查 。 在 Linux 操作 系统 中 ,无 论 是 实现 访问 控 
制 功能 还 是 安全 日 志 功 能 ,都 需要 知道 系统 中 执行 的 相关 操作 。 

本 章 重点 介绍 了 两 种 截获 Linux 系统 操作 的 技术 ,一 种 是 注册 LSM 钩子 函数 , 另 一 种 
是 系统 调用 重 载 的 处 理 函 数 。 这 两 种 技术 与 直接 修改 Linux 源 代码 来 实现 系统 操作 的 截获 
相 比 具有 明显 的 优点 ,具体 为 : 不 需 直 接 修改 内 核 的 源 代码 ,而 是 通过 开发 内 核 模 块 的 方 
式 , 实 现 难度 相对 较 小 ,容易 调试 ,而 且 对 Linux 原 有 的 功能 及 实现 影响 小 ; 具有 较 好 的 移 
植 性 ,由 于 所 有 的 安全 机 制 实现 集中 在 一 个 内 核 模 块 中 ,而 不 是 分 散 到 内 核 源 代码 的 诸多 文 
件 , 在 进行 系统 间 的 移植 时 ,直接 将 编译 好 的 内 核 模块 复制 到 新 版 Linux 系统 上 即 可 ,或 在 
内 核 模 块 与 内 核 版 本 不 一 致 时 ,只 需要 重新 编译 内 核 模 块 的 源 代码 即 可 实现 移植 。 

本 章 还 详细 阐述 了 基于 这 两 种 技术 ( 见 2.2、2.4 节 ) 实 现 控制 类 ,日 志 类 和 数据 转换 类 
这 三 种 不 同安 全 机 制 的 基本 思路 和 方法 。 本 章 最 后 设计 了 两 个 Linux 内 核 级 安全 机 制 的 开 
发 题目 : 基于 LSM 的 文件 访问 控制 和 基于 系统 调用 重 载 的 文件 访问 日 志 。 这 两 个 开发 题 
目 对 应 的 开发 实践 过 程 及 相应 的 原型 系统 实现 在 本 书 第 二 部 分 “开发 实践 篇 ”中 详细 阐述 ， 
具体 见 本 书 第 8、9 章 。 


习 题 


1. 分 别 简 述 控制 类 安全 机 制 和 日 志 类 安全 机 制 对 Linux 系统 安全 的 作用 。 

2. 简 述 Linux 安全 模块 (LSM) 机 制 的 作用 ,以 及 引入 这 种 机 制 的 原因 。 

3. 在 利用 LSM 框架 实现 安全 机 制 时 要 为 某 钧 子 点 设计 相应 的 钧 子 函 数 , 是 否 可 以 任 
意 定 义 该 钩子 函数 的 参数 ,为 什么 ? 

4. 在 基于 LSM 框架 实现 安全 机 制 时 ,其 内 核 模块 的 三 个 部 分 分 别 完成 怎样 的 功能 ? 

5. 若 用 LSM 框架 实现 一 个 应 用 层 透明 的 加 密 文件 存储 ,有 哪些 困难 ? 

6. 从 单条 日 志 记 录 的 信息 全 面 性 上 分 析 , 基 于 LSM 框架 实现 系统 级 日 志 存在 的 不 足 
有 哪些 ? 

7. 解释 完成 系统 调用 重 载 的 基本 流程 。 

8. 在 为 某 个 系统 调用 设计 相应 的 重 载 函 数 时 ,是 否 可 以 随意 定义 该 函数 的 参数 ,为 
什么 ? 

9. 在 为 某 个 系统 调用 设计 相应 的 重 载 函数 时 , 除 安全 功能 外 ,是 否 还 需要 在 该 函数 中 
实现 系统 调用 的 原 服务 功能 ? 若 需要 实现 ,如 何 实现 ? 

10. 简 述 Linux 系统 原 有 的 文件 访问 控制 功能 。 

11. 采用 系统 调用 重 载 技术 分 别 实现 控制 类 安全 机 制 与 日 志 类 安全 机 制 有 什么 显著 的 
不 同 ? 

12. 与 基于 LSM 框架 或 系统 调用 重 载 实现 安全 机 制 相 比 ,采用 直接 修改 Linux 内 核 源 
代码 的 方式 实现 安全 机 制 存 在 哪些 不 足 ? 
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Internet 的 出 现 给 人 们 带 来 了 全 新 的 资源 和 信息 共享 方式 ,Internet 的 快速 发 展 和 广泛 
应 用 给 人 们 生活 、 工 作 , 甚 至 整个 社会 的 经 济 发 展 都 带 来 了 深远 的 影响 。 可 以 说 Internet 在 
很 大 程度 上 日 益 改 变 着 人 们 的 生活 方式 ,甚至 在 改变 整个 社会 的 经 济 活动 模式 。 例 如 ,以 此 
为 基础 发 展 出 的 电子 商务 ,不 仅 改 变数 以 亿 计 人 们 的 购物 方式 和 消费 习惯 ,也 对 一 些 传统 的 
经 济 实体 (如 各 种 实体 商店 、 百 货 公司 等 ) 带 来 了 极 大 的 冲击 。 

男 一 方面 ,Internet 的 网 络 互联 也 给 网 络 黑客 及 其 他 网 络 攻击 者 远程 攻击 和 控制 目标 
网 络 与 计算 机 系统 提供 了 前 提 和 基础 。 各 种 各 样 的 机 密 信息 窃取 、 信 息 自 改 等 网 络 安全 事 
件 层出不穷 ,网 络 和 计算 机 系统 的 安全 性 面临 着 严峻 的 威胁 。 

为 了 应 对 信息 安全 威胁 ,多 层次 的 信息 安全 技术 以 及 相应 的 系统 应 运 而 生 , 如 实现 网 络 
连接 控制 的 防火 墙 系统 ,实现 人 侵 发 现 的 人 侵 检测 系统 ,攻击 响应 及 恢复 系统 等 。 网 络 防火 
墙 对 远程 的 网 络 访问 进行 检查 和 控制 ,是 实现 网 络 信息 安全 的 第 一 道 防线 ,也 是 目前 最 常用 
的 信息 安全 技术 ,其 相应 的 开发 技术 一 直 受到 人 们 的 重视 。 


3.1 网 络 防火 墙 的 基本 概念 


Internet 的 迅速 发 展 ,提供 了 发 布 信息 和 检索 信息 的 场所 ,但 也 带 来 了 信息 失窃 和 数据 
破坏 的 危险 。 人 们 为 了 保护 其 数据 和 资源 的 安全 ,设计 出 了 网 络 防火 墙 。 防 火 墙 原 是 建筑 
物 大 厦 中 采用 的 消防 设施 ,以 防止 火灾 从 大 厦 的 一 部 分 扩散 到 另 一 部 分 。 理 论 上 网 络 防火 
墙 的 功能 也 属于 类 似 目的 ,一 般 部 署 在 内 部 网 络 接 人 Internet 的 出 口 处 。 网 络 防 火 墙 作为 
要 塞 点 、 控 制 点 能 显著 提高 一 个 内 部 网 络 的 安全 性 ,通过 对 网 间 所 传递 的 数据 进行 分 析 和 控 
制 , 只 有 被 认定 为 正常 的 网 络 协 议 数据 才能 通过 防火 墙 ,这 样 可 防止 Internet 上 的 危险 传播 
到 网 络 内 部 ,也 能 防止 内 部 网 络 的 数据 被 来 自 Internet 的 恶意 用 户 窍 取 。 

除了 对 内 外 网 间 的 网 络 访问 进行 分 析 控制 外 ,一 般 网 络 防火 墙 还 具有 审计 功能 , 即 对 经 
过 网 络 防火 墙 的 所 有 网 络 访问 作出 日 志 记 录 , 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 
发 生 可 疑 操作 时 ,网络 防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 攻击 的 详细 信息 。 

除 具 有 网 络 访问 控制 和 审计 功能 外 ,目前 的 网 络 防火 墙 产 品 还 支持 虚拟 专用 网 (Virtual 
Private Network,VPN) 功 能 ,网 络 防火 墙 利用 VPN 功能 可 以 创建 安全 连接 ,网络 用 户 可 以 
借助 于 该 安全 连接 进行 数据 的 安全 传输 ,以 保证 数据 在 传输 过 程 中 不 被 偷 听 和 算 改 。 


3.2 ”防火墙 的 网 络 访问 控制 功能 


网 络 防火 墙 作为 目前 最 为 流行 的 网 络 安全 技术 ,无 论 在 学 术 界 还 是 信息 安全 业界 ,其 相 
关 的 研究 、 开 发 都 受到 广泛 的 关注 和 重视 ,各 种 新 功能 ,如 网 络 地 址 转换 (Network Address 
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Translation'NAT) 等 ,相继 被 开发 并 集成 到 相应 的 网 络 防火 墙 产品 中 。 

尽管 如 此 ,网 络 访问 的 管理 和 控制 功能 仍然 是 网 络 防 火 墙 最 核心 的 基本 功能 。 一 方面 ， 
目前 很 多 网 络 安全 问题 都 是 由 不 合理 的 网 络 连接 或 网 络 数据 包 传递 引起 的 ,任何 对 内 部 网 
络 发 起 的 攻击 最 终 都 要 体现 为 恶意 的 网 络 连接 和 数据 传递 ,因此 阻 断 不 必要 的 网 络 连接 和 
网 络 数据 包 传递 能 够 使 内 部 网 络 躲 避 绝 大 多 数 的 网 络 攻击 。 另 一 方面 ,网 络 防火 墙 的 其 他 
安全 功能 大 多 都 要 建立 在 对 网 络 访问 的 管理 和 控制 基础 上 。 如 果 没 有 对 网 络 访问 的 管理 和 
控制 ,恶意 的 网 络 连接 和 网 络 数据 包 传递 就 可 以 任意 通行 ,网 络 防火 墙 就 失去 了 对 网 络 最 基 
本 的 安全 保护 能 力 , 这 时 网 络 防火 墙 的 其 他 安全 功能 就 完全 发 挥 不 了 作用 。 下 文 将 网 络 连 
接 以 及 网 络 数据 包 传递 统称 为 网 络 访问 ,将 对 网 络 访问 的 管理 和 控制 简称 为 网 络 访问 控制 。 

网 络 防火 墙 要 实现 理想 的 网 络 访问 控制 功能 ,关键 是 如 何 甄别 出 哪些 网 络 访问 是 正当 
的 ,应 该 让 其 通过 的 ,而 哪些 网 络 访问 是 恶意 的 或 者 不 正当 的 ,应 该 阻 断 的 。 通 常 正常 的 网 
络 连 接 或 网 络 数 据 包 不 会 在 自身 附 上 正当 访问 的 标签 ,相反 地 ,恶意 的 网 络 连 接 和 数据 包 为 
了 不 被 网 络 防火 墙 阻 断 , 反 而 会 尽 可 能 地 在 形式 或 外 表 上 将 自己 伪装 成 合法 的 网 络 连 接 或 
网 络 数据 包 。 

甄别 网 络 访问 是 否 正当 的 过 程 实际 上 就 是 访问 控制 的 决策 过 程 , 网 络 防火 墙 要 完成 该 
过 程 主 要 涉及 到 三 个 方面 , 即 访问 控制 规则 的 设计 、 访 问 控制 决策 的 形成 以 及 访问 控制 决策 
的 实施 。 吕 访问 控制 规则 设计 部 分 的 功能 体现 为 要 按照 什么 规则 和 逻辑 来 判定 网 络 访问 是 
正当 的 、 应 该 放行 的 ,还 是 不 正当 的 、 应 该 阻 断 的 ,如 根据 网 络 数据 包 的 源 地 址 是 否 在 指定 的 
合法 IP 地 址 列表 中 来 判定 一 个 IP 数据 包 是 否 放 行 ,这 就 是 一 个 常见 的 网 络 防 火 墙 的 访问 
控制 规则 ; @ 访 问 控制 决策 形成 部 分 的 功能 是 对 一 个 特定 的 网 络 访问 ,根据 相应 的 访问 控 
制 规则 ,给 出 应 该 放行 还 是 阻 断 该 网 络 访问 的 判决 或 决策 ; 回访 问 控制 决策 实施 部 分 的 功 
能 是 依据 所 形成 的 访问 控制 判决 结果 ,对 一 个 特定 的 网 络 访问 进行 控制 , 即 放行 或 阻 断 该 网 
络 访问 。 

本 书 在 讨论 网 络 防火 墙 的 实现 技术 中 ,重点 关注 如 何 实现 网 络 防火 墙 的 网 络 访问 控制 
功能 ,对 于 网 络 防 火 墙 的 其 他 功能 (如 日 志 、VPN 等 ) 不 做 具体 的 阐述 。 


3.3 访问 控制 功能 的 实现 要 素 


综合 上 面 的 分 析 可 知 ,网 络 防火 墙 要 完成 一 个 完整 的 网 络 访问 控制 功能 ,具体 需要 三 个 
基本 功能 要 素 : 访问 控制 规则 的 配置 ,基于 访问 控制 规则 的 访问 判决 ,访问 判决 的 实施 。 下 
面 的 三 个 小 节 分 别 讨论 这 三 个 部 分 。 


3.3.1 访问 控制 规则 的 配置 


通常 ,网络 防火 墙 不 能 完全 智能 地 甄别 出 不 当 的 或 恶意 的 网 络 访问 ,并 自动 实现 相应 的 
网 络 访问 阻 断 , 毕 竞 防火 墙 所 处 的 网 络 环境 是 多 种 多 样 的 ,甚至 网 络 应 用 也 处 在 动态 变化 之 
中 。 目 前 大 多 数 网 络 防火 墙 都 是 依据 网 络 管理 员 配 置 (或 制定 ) 好 的 规则 进行 网 络 访问 控 
制 ,访问 控制 规则 的 制定 是 网 络 防火 墙 实现 网 络 访问 控制 的 前 提 和 基础 。 因 此 在 网 络 防火 
墙 的 实际 应 用 中 ,访问 控制 规则 的 配置 尤为 重要 。 针 对 所 在 的 网 络 应 用 环境 ,制定 合适 的 网 
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络 访问 控制 规则 是 网 络 防火 墙 对 内 部 网 络 切实 发 挥 安全 保护 作用 的 关键 所 在 。 

对 具体 的 网 络 防火 墙 而 言 ,为 其 配置 合适 的 访问 控制 规则 涉及 到 几 个 方面 的 现实 问题 。 
一 是 规则 配置 平台 , 即 网 络 防 火 墙 提供 了 什么 样 的 方法 来 配置 控制 策略 。 二 是 访问 控制 规 
则 的 具体 存在 和 表示 形式 ,如 控制 规则 中 支持 哪些 控制 要 素 以 及 运算 逻辑 等 。 另 外 安全 管 
理 员 的 作用 也 同样 重要 ,安全 管理 员 要 配置 出 合适 的 安全 规则 还 会 涉及 到 很 多 因素 ,如 安全 
管理 员 自 身 的 安全 素养 ,安全 管理 员 对 网 络 应 用 的 熟悉 程度 ,安全 管理 员 对 规则 配置 平台 前 
理解 程度 等 。 安 全 管理 员 如 果 不 能 为 网 络 防火 墙 配 置 出 合适 的 访问 控制 规则 ,如 默认 放行 
所 有 的 网 络 访问 ,网 络 防火 墙 就 不 能 真正 发 挥 作 用 。 实 际 上 ,这 些 问 题 可 归结 为 网 络 防火 墙 
的 管理 和 使 用 问题 ,本 书 从 网 络 防火 墙 的 开发 角度 出 发 ,更 关注 如 何 实现 或 提供 一 个 好 的 规 
则 配置 平台 ,以 及 如 何 组 织 访问 控制 规则 。 

对 访问 控制 规则 配置 平台 而 言 ,良好 的 配置 方式 和 界面 非常 重要 ,尤其 是 商用 的 网 络 防 
火 墙 。 一 个 好 的 配置 界面 不 但 有 利于 系统 被 用 户 接受 ,而且 还 便于 用 户 培训 ,节省 培训 费用 
等 。 但 就 其 功能 而 言 ,访问 控制 规则 配置 平台 的 核心 体现 在 能 够 配置 出 什么 样 的 访问 控制 
规则 。 网 络 防 火 墙 所 配置 出 的 访问 控制 规则 类 似 于 一 个 运算 结果 为 布尔 值 的 函数 ,该 类 函 
数 的 关键 特征 体现 在 两 个 方面 ,一 是 其 中 所 包含 的 数据 种 类 , 即 所 支持 的 数据 类 型 .常量 、 变 
量 等 ,二 是 对 应 所 能 支持 数据 种 类 的 运算 类 型 ,如 算术 运算 .逻辑 运算 等 。 相 应 地 ,网 络 防火 
墙 规则 配置 平台 的 本 质 特征 在 于 所 支持 的 参量 类 型 , 即 可 以 基于 哪些 要 素来 配置 网 络 访问 
控制 规则 ,以 及 所 支持 要 素 上 的 运算 类 型 。 通 常 运算 类 型 依赖 于 所 支持 的 参量 , 当 规 则 配置 
支持 的 参量 类 型 确定 之 后 ,其 上 所 能 进行 的 运算 类 型 也 就 相应 地 确定 下 来 ,因此 这 里 重点 讨 
论 防 火 墙 规则 配置 所 支持 的 参量 类 型 。 

网 络 防火 墙 的 访问 控制 规则 包含 的 元 素 可 能 会 涉及 到 较 多 的 数据 类 型 ,但 从 来 源 看 , 访 
问 控制 规则 所 依赖 的 要 素 可 分 为 三 类 : 网 络 访问 参量 .系统 状态 参量 . 自 定义 参量 。 目 前 大 
多 数 的 网 络 防火 墙 都 是 在 这 三 类 参量 上 配置 访问 控制 规则 。 

。 网 络 访问 参量 : 不 管 是 网 络 连 接 还 是 网 络 数 据 包 传递 ,一 个 网 络 访问 总 会 伴随 着 一 

定 的 上 下 文 信息 或 者 网 络 访问 属性 ,如 数据 包 的 源 IP 地 址 .数据 包 的 源 端口 .数据 
包 的 目标 IP 地 址 等 ,这 些 信 息 统 称 为 网 络 访问 参量 。 
系统 状态 参量 : 除了 该 次 网 络 访问 的 属性 外 ,有 些 网 络 防 火 墙 的 访问 控制 规则 还 
涉及 到 一 些 全 局 性 的 系统 状态 变量 ,如 系统 时 间 等 。 商 业 化 的 防火 墙 多 数 都 能 配 
置 出 时 间 相 关 的 网 络 访问 控制 规则 ,如 工作 日 的 9:00 一 17:00 才能 进行 网 络 访 
问 等 。 
自 定义 参量 : 这 些 参量 通常 体现 为 由 安全 管理 员 自 己 定义 的 一 些 常 量 ,这 些 常量 的 
值 在 规则 配置 阶段 就 已 确定 下 来 ,如 特定 的 网 络 IP 地 址 段 、 合 法 的 URL 列表 、 
URL 黑 名 单列 表 等 。 这 些 自 定义 参量 对 应 了 安全 管理 员 的 先 验 知识 ,安全 管理 员 
在 配置 网 络 访问 控制 规则 时 需要 具备 这 些 知 识 。 

通常 安全 管理 员 在 为 网 络 防 火 墙 配 置 访问 控制 规则 时 ,配置 出 的 可 能 不 是 单个 规则 ,而 
是 多 条 规则 组 成 的 规则 集合 ,这 些 规则 一 般 适 用 于 不 同 场合 下 的 网 络 访问 。 对 于 适用 于 相 
同 场合 的 多 条 网 络 访问 控制 规则 ,网 络 防 火 墙 应 该 包含 规则 冲突 解决 方案 , 即 在 对 同一 网 络 
访问 进行 访问 判决 过 程 中 .如 出 现 有 超过 一 条 的 访问 控制 规则 适用 于 该 访问 ,并 且 这 些 访 问 
控制 规则 的 判决 结果 不 一 致 ,这 时 应 该 以 哪 条 判决 结果 对 该 网 络 访问 进行 控制 。 
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3.3.2 基于 访问 控制 规则 的 访问 判决 


网 络 访问 控制 规则 给 出 了 网 络 访问 是 否 能 够 得 到 许可 的 静态 约束 和 描述 , 即 在 什么 条 
件 下 能 够 进行 网 络 访问 ,什么 条 件 下 不 能 进行 网 络 访问 。 而 对 一 个 特定 的 网 络 访问 ,需要 根 
据 其 访问 属性 执行 相应 的 访问 控制 规则 ,才能 得 出 具体 的 访问 判决 结果 。 在 网 络 防火 墙 中 ， 
基于 控制 规则 的 访问 判决 大 致 包含 以 下 三 个 过 程 : 

(1) 控制 规则 选取 阶段 。 如 果 网 络 防火 墙 有 多 条 访问 控制 规则 ,对 一 个 特定 的 网 络 访 
问 , 需 要 找 出 对 应 本 网 络 访问 的 (一 条 或 几 条 ) 访 问 控制 规则 ,然后 解释 或 执行 相应 的 访问 控 
制 规则 以 形成 访问 判决 。 一 般 情况 下 ,在 为 一 个 网 络 访问 选取 相应 的 控制 规则 时 ,需要 预先 
知道 该 网 络 访问 的 一 些 访问 属性 。 假 定 防 火 墙 中 存在 两 条 访问 控制 规则 ,分别 用 于 TCP 应 
用 和 UDP 应 用 ,因此 只 有 明确 该 网 络 访问 对 应 的 具体 业务 类 型 (TCP 或 UDP) 后 , 才 可 能 
为 该 网 络 访问 找到 合适 的 访问 控制 规则 。 如 果 网 络 防火 墙 具 有 一 条 访问 控制 规则 ,也 就 无 
所 谓 规 则 选取 ,在 生成 访问 判决 时 会 略 过 这 个 阶段 。 

(2) 单 规则 判决 阶段 。 在 为 指定 网 络 访问 找到 合适 的 控制 规则 后 ,解释 或 执行 该 控制 
规则 ,就 能 够 得 到 关于 该 网 络 访问 的 判决 结果 。 如 果 找 到 多 条 合适 的 控制 规则 ,可 能 需要 逐 
一 解释 或 执行 这 些 控制 规则 。 

在 控制 规则 的 解释 或 执行 过 程 中 ,如 何 获得 该 规则 中 所 有 的 参量 (或 参量 的 取 值 ) 是 最 
为 核心 的 问题 。 在 3. 3. 1 节 中 提 到 的 三 种 参量 中 , 自 定义 参量 的 值 如 果 包 含 在 访问 控制 规 
则 中 ,在 解释 或 执行 访问 控制 规则 时 不 存在 获得 其 参量 值 的 问题 ,如 果 是 保存 在 防火 墙 的 配 
置 文件 中 ,只 要 读 取 相应 的 配置 文件 就 能 获得 这 些 参 量 的 值 。 

对 于 全 局 状态 参量 ,通过 访问 全 局 数据 结构 或 者 状态 查询 函数 ,就 能 获得 其 参量 的 值 ， 
如 调用 操作 系统 的 函数 gettimeofday() 获 得 系统 时 间 , 用 于 解释 什么 时 间 段 能 够 访问 、 什 么 
时 间 段 不 能 访问 这 样 的 访问 控制 规则 。 

对 网 络 访问 参量 值 的 获取 相对 比较 复杂 ,有 些 访问 属性 值 可 以 从 网 络 访问 中 直接 得 到 ， 
例如 ,从 IP 数据 包 中 可 以 直接 获得 源 IP 地 址 ,而 有 些 访问 属性 值 需要 经 过 分 析 才 能 得 到 ; 
从 IP 数据 包 中 不 能 直接 得 到 所 对 应 的 网 络 应 用 服务 类 型 ; 是 FTP 应 用 还 是 EMAIL 应 用 ， 
网 络 应 用 服务 类 型 可 能 需要 将 多 个 IP 报 文 拼装 分 析 后 才能 获得 。 

(3) 冲突 判决 仲裁 阶段 。 对 某 网 络 访问 , 当 有 两 条 或 两 条 以 上 访问 控制 规则 的 判决 结 
果 发 生 冲 突 时 ,需要 对 这 些 判 决 结果 进行 仲裁 ,以 获得 最 终 的 判决 结果 。 实 际 的 网 络 防火 墙 
可 能 会 采用 不 同 的 方案 来 解决 多 条 访问 控制 规则 的 判决 冲突 问题 。 多 数 防火 墙 采用 “否定 
优先 ?的 方式 , 即 对 一 个 网 络 访问 的 所 有 判决 结果 中 ,只 要 有 一 个 是 阻 断 的 ,防火 墙 就 会 阻 断 
该 网 络 访问 。 极 少 有 防火 墙 采用 “肯定 优先 ”的 方式 来 裁决 不 一 致 的 判决 。 


3.3.3 网 络 访问 判决 的 实施 


在 获得 最 终 判 决 结果 后 ,网 络 防 火 墙 就 能 够 对 某 网 络 访问 进行 管理 和 控制 , 即 放行 或 阻 
断 该 网 络 访问 。 不 难 理解 ,要 对 一 个 网 络 访问 进行 控制 ,首先 需要 在 机 制 上 保证 网 络 防火 墙 
能 够 截获 到 该 网 络 访问 ,如 截获 一 个 TCP 连接 或 者 一 个 IP 数据 包 等 。 也 就 是 网 络 防 火 墙 
必须 运行 在 网 络 访问 所 经 的 结 点 (路 由 结 点 或 某 协议 层次 ) 上 ,或 者 至 少 有 一 个 模块 运行 在 
相应 的 结 点 上 , 且 该 模块 能 够 影响 到 该 结 点 上 的 网 络 访问 处 理 流 程 。 如 某 防火 墙 要 控制 进 
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出 一 个 局 域 网 的 IP 数据 包 , 该 防火 墙 至 少 需 要 有 模块 运行 在 该 局 域 网 的 网 关 ( 或 路 由 器 ) 

上 , 且 该 模块 能 够 根据 访问 判决 结果 ,控制 该 网 关 是 转发 IP 数据 包 还 是 阻 断 IP 数据 包 。 
显然 在 网 络 防火 墙 的 实现 中 ,网 络 访问 判决 的 实施 是 一 个 非常 关键 的 技术 ,直接 决定 了 

网 络 防火 墙 的 实现 方式 和 应 用 部 署 方式 ,3. 5 节 将 结合 具体 的 实现 方式 再 进行 详细 阐述 。 


3.4 网络 防火 墙 的 逻辑 结构 


根据 所 实现 功能 的 不 同 , 网 络 防火 墙 在 逻辑 上 可 以 分 为 三 大 模块 , 即 访问 控制 规则 配置 
模块 、 网 络 访问 截获 和 控制 模块 、 网 络 访问 判决 模块 ,此 外 还 需 一 个 保存 访问 控制 规则 的 数 
据 库 。 一 个 完整 的 网 络 防火 墙 的 逻辑 结构 如 图 3-1 所 示 。 
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图 3-1 网 络 防 火 墙 的 逻辑 结构 


3.4.1 访问 控制 规则 配置 模块 


该 模块 的 主要 功能 是 提供 一 个 接口 或 者 界面 , 供 网 络 管理 员 配 置 相应 的 访问 控制 规则 ， 
并 将 配置 结果 保存 在 访问 控制 规则 库 中 。 在 实现 访问 控制 规则 配置 模块 时 ,要 预先 确定 访 
问 控制 规则 所 支持 的 参量 种 类 ,以 及 其 上 所 能 进行 的 运算 类 型 。 这 些 参量 种 类 和 运算 类 型 
要 与 后 面 (3. 4. 4 节 ) 提 到 的 访问 控制 规则 解释 和 执行 子 模块 所 支持 的 参量 种 类 和 运算 类 型 
相 一 致 。 网 络 管理 员 只 能 在 这 些 参 量 种 类 和 运算 类 型 基础 上 配置 安全 规则 ,和 否则 所 配置 出 
的 访问 控制 规则 不 能 有 效 生 成 真正 的 访问 控制 判决 。 

有 些 网 络 防火 墙 的 访问 控制 规则 配置 模块 还 具有 附加 功能 ,具体 可 能 包括 : 访问 控制 
规则 的 完整 性 检查 ,甚至 自动 添加 一 些 默 认 规则 ,如 默认 禁止 访问 等 ; 访问 控制 规则 的 冲突 
检查 ,或 者 以 静态 的 方式 预先 消除 规则 冲突 ,或 者 指定 规则 冲突 解决 方式 ,以 便于 在 适用 于 
同一 网 络 访问 的 多 个 规则 出 现 判 决 不 一 致 时 形成 最 终 的 访问 判决 结果 。 
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因此 该 模块 从 功能 逻辑 上 可 以 划分 为 三 个 部 分 : 规则 约束 子 模块 ,其 功能 是 约定 用 户 
如 何 配置 出 相应 的 访问 控制 规则 ,如 约定 可 以 配置 的 参量 种 类 以 及 相应 的 运算 类 型 等 ; 控 
制 规则 生成 子 模块 ,该 子 模块 为 整个 模块 的 功能 核心 ,按照 用 户 的 配置 生成 相应 的 访问 控制 
规则 ; 控制 规则 检查 子 模块 , 即 在 生成 访问 控制 规则 前 ,对 访问 控制 规则 的 完整 性 一致 性 
等 进行 检查 。 


3.4.2 访问 控制 规则 数据 库 


访问 控制 规则 数据 库 是 联系 访问 控制 规则 配置 模块 和 网 络 访问 判决 模块 之 间 的 纽带 ， 
保存 访问 控制 规则 配置 模块 的 运行 成 果 , 用 于 网 络 访问 判决 模块 对 指定 的 网 络 访问 形成 相 
应 的 访问 判决 。 

访问 控制 规则 数据 库 中 的 规则 内 容 和 存在 形式 在 不 同 的 网 络 防火 墙 系统 中 差别 很 大 ， 
一 个 简单 的 网 络 防火 墙 可 能 只 有 一 两 条 规则 ,而 一 些 应 用 复杂 的 网 络 防火 墙 可 能 有 几 十 条 
万 至 上 百 条 的 规则 。 一 般 而 言 ,访问 控制 规则 数据 库存 储 的 内 容 主要 包括 : 由 一 条 条 具体 
的 访问 控制 规则 组 成 的 访问 控制 规则 集合 ; 默认 的 访问 控制 规则 ,该 规则 约定 在 没有 合适 
的 控制 规则 情况 下 如 何 对 一 个 网 络 访问 进行 控制 ; 规则 冲突 仲裁 方式 ,用 于 在 多 个 控制 规 
则 对 同一 个 网 络 访问 出 现 不 同 判 决 时 产生 最 终 的 判决 结果 。 


3.4.3 网 络 访问 截获 和 控制 模块 


该 模块 的 主要 功能 是 截获 网 络 访问 ,向 网 络 访问 判决 模块 询问 如 何 处 理 该 网 络 访问 , 待 
网 络 访问 判决 模块 返回 判决 结果 后 ,依据 所 得 到 的 判决 结果 对 该 网 络 访问 实施 访问 控制 , 即 
放行 或 者 阻 断 该 网 络 访问 。 

通常 该 模块 在 向 访问 判决 模块 询问 判决 结果 时 ,需要 将 该 网 络 访问 的 上 下 文 信息 , 即 各 
种 访问 属性 ,同时 提交 给 访问 判决 模块 ,以 便于 访问 判决 模块 形成 对 该 网 络 访问 的 判决 。 因 
此 该 模块 在 逻辑 上 可 分 为 四 个 子 模块 : 访问 截获 子 模块 .访问 属性 分 析 子 模块 、 判 决 请 求 子 
模块 以 及 访问 控制 实施 子 模块 。 

。 访问 截获 子 模块 : 该 子 模块 截获 网 络 中 正在 发 生 或 将 要 发 生 的 网 络 访问 ,包括 网 络 
连接 、 报 文 传递 .应 用 会 话 等 。 开 发 和 应 用 部 署 网 络 防火 墙 时 ,要 保证 所 有 的 网 络 数 
据 传递 或 者 希望 控制 的 网 络 数据 传递 全 部 经 过 该 子 模块 , 即 该 子 模块 不 能 被 旁 路 ， 
要 能 截获 到 所 有 需要 控制 的 网 络 数据 传递 。 
访问 属性 分 析 子 模块 : 在 截获 网 络 访问 后 ,需要 将 该 网 络 访问 发 生 的 上 下 文 信息 进 
行 收集 ,如 数据 包 的 来 源 、 目 的 地 址 等 。 
判决 请 求 子 模 块 : 依据 分 析出 的 访问 属性 信息 ( 即 访问 上 下 文 信息 ) ,形成 访问 判决 
请 求 ,并 将 该 访问 判决 请 求 连同 访问 属性 信息 一 起 发 送 给 网 络 访问 判决 模块 。 
访问 控制 实施 子 模块 : 对 已 截获 的 网 络 访问 ,接收 来 自 于 网 络 访问 判决 模块 的 判决 
结果 ,并 依据 该 判决 结果 对 该 网 络 访问 进行 处 理 , 阻 断 或 允许 所 传递 的 数据 包 ( 或 网 
络 连接 ) 等 。 


3.4.4 网 络 访问 判决 模块 
该 模块 的 主要 功能 是 针对 网 络 访问 截获 和 控制 模块 提交 来 的 访问 判决 请 求 ( 附 带 有 相 
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应 的 访问 上 下 文 信息 ) ,依据 对 应 的 访问 控制 规则 形成 访问 判决 ,并 将 该 判决 结果 返回 给 网 
络 访问 截获 和 控制 模块 。 依 据 3. 3. 2 节 的 讨论 ,该 模块 主要 包含 以 下 功能 流程 。 

。 控制 规则 选取 : 根据 待 判决 的 访问 控制 请 求 及 其 访问 属性 信息 ,在 访问 控制 规则 库 
中 选取 适用 于 该 访问 的 控制 规则 。 对 一 些 网 络 防火 墙 而 言 , 可 能 会 选取 出 多 条 适用 
的 访问 控制 规则 ,也 可 能 没有 适用 的 访问 控制 规则 ,通常 没有 适用 的 访问 控制 规则 
意味 着 适用 默认 规则 ,或 者 直接 生成 默认 的 判决 结果 。 
规则 参量 值 提 取 : 访问 控制 规则 类 似 于 一 个 布尔 函数 ,访问 控制 规则 的 执行 类 似 于 
计算 函数 的 值 ,计算 出 函数 结果 的 前 提 是 需要 知道 函数 参数 的 值 。 同 样 在 执行 选取 
出 的 访问 控制 规则 时 ,需要 知道 该 规则 中 所 有 参量 的 值 。 这 些 参 量 值 可 通过 读 取 该 
网 络 访问 伴随 的 访问 属性 值 ,查询 全 局 状态 ,或 者 读 取 规 则 配置 文件 (或 数据 库 ) 等 
来 获得 。 
规则 解释 与 执行 : 在 获得 访问 控制 规则 涉及 到 的 参量 值 后 ,就 可 以 对 该 网 络 访问 执 
行 相 应 的 规则 解释 ,以 对 该 网 络 访问 形成 访问 判决 结果 。 
判决 结果 仲裁 : 在 出 现 多 条 访问 控制 规则 的 判决 结果 不 一 致 时 ,如 果 管 理 员 设置 了 
不 一 致 判决 的 仲裁 方式 ,该 模块 将 按 此 方式 仲裁 出 最 终 的 判决 结果 ,否则 需要 按 默 
认 的 方式 , 即 * 肯 定 优先 ?或 “否定 优先 等 ,仲裁 出 最 终 的 判决 结果 。 


3.5 网 络 防火 墙 接 人 的 协议 层次 


从 网 络 防 火 墙 的 逻辑 结构 不 难看 出 ,网 络 防火 墙 要 在 一 个 网 络 中 实现 真正 的 网 络 访问 
控制 ,需要 能 够 截获 针对 该 网 络 的 网 络 访问 ,并且 按照 判决 结果 控制 该 网 络 访问 的 放行 和 阻 
断 。 换 而 言 之 ,网 络 防火 墙 中 的 网 络 访问 截获 和 控制 模块 (或 者 至 少 其 中 的 一 部 分 ) 应 该 髋 
入 到 原 有 网 络 的 协议 处 理 流程 中 ,这 样 才能 截获 到 网 络 访问 并 获得 网 络 访问 的 上 下 文 信息 ， 
以 及 影响 和 改变 网 络 访问 的 处 理 流程 ,从 而 真正 落实 网 络 防火 墙 的 访问 判决 结果 。 因 此 ,要 
实现 网 络 防火 墙 , 需 要 首先 了 解 原 有 的 网 络 协议 处 理 流程 。 

网 络 访问 对 应 为 具体 的 网 络 通信 ,在 TCP/IP 体系 结构 下 ,通信 双方 以 客户 /服务 器 的 
形式 存在 。 目 前 主要 的 应 用 层 协议 (FTP、HTTP 等 ) 都 支持 代理 模式 ,代理 模式 下 的 网 络 
协议 处 理 流程 和 一 般 模式 下 的 网 络 协议 处 理 流程 存在 根本 性 的 不 同 ,本 节 的 一 般 模 式 是 相 
对 于 代理 模式 而 言 的 , 即 非 代理 模式 。 

本 节 首 先 用 两 小 节 分 别 介绍 TCP/IP 协议 体系 下 一 般 模式 和 代理 模式 下 的 协议 处 理 流 
程 ,然后 讨论 如 何 将 防火 墙 谋 入 到 原 有 的 网 络 协议 处 理 流程 中 , 即 讨论 防火 墙 的 协议 嵌入 层次 。 


3.5.1 非 代理 模式 下 的 协议 处 理 流程 


不 失 一 般 性 ,这 里 假定 发 出 数据 包 的 主机 为 客户 端 ,接收 数据 包 的 主机 为 网 络 服务 器 。 
图 3-2 首先 给 出 了 非 代理 模式 下 的 网 络 服务 结构 ,这 里 假定 客户 端 为 局 域 网 LANA 中 的 
HostAi ,服务 器 为 局 域 网 LANs 中 的 HostBi 。 

从 客户 端 发 出 的 代表 网 络 访问 的 数据 包 要 依次 经 过 下 列 网 络 路 径 : 客户 机 HostAi ,局 
域 网 LANA 的 网 关 GatewayA, Internet 上 的 各 种 中 间 设 备 ( 路 由 器 .交换 机 等 ), 局 域 网 
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HostA， GatewayA GatewayB HostBi 
HostAN HostBw 

LANA LANB 


图 3-2 非 代理 模式 下 的 网 络 服务 结构 


LANs 的 网 关 GatewayB, 最 后 到 达 服 务 器 主机 HostBi 。 

从 协议 的 处 理 层 次 角度 来 看 ,网 络 数 据 包 经 过 的 网 络 路 径 结 点 对 应 的 处 理 方式 存在 区 
别 。 图 3-3 给 出 了 各 网 络 结 点 上 协议 的 大 概 处 理 流程 ,这 里 假定 客户 端的 IP 地 址 和 端口 分 
别 为 m 和 n( 记 作 m:n) ,服务 器 的 IP 地 址 和 端口 分 别 为 x 和 y( 记 作 x:y) ,各 网 络 结 点 上 的 
协议 处 理 过 程 概括 如 下 : 

。 在 客户 端 ,应 用 层 的 数据 经 过 TCP/IP 协议 的 逐 层 处 理 ,将 会 被 封装 成 源 IP 地 址 和 
源 端 口 为 m:n、 目标 IP 地 址 和 目标 端口 为 x:y 的 IP 数据 包 ( 记 作 m:n 一 二 x:y), 然 
后 封装 在 MAC 帧 中 传输 到 硬件 链 路 上 。 
在 网 络 中 间 结 点 (包括 局 域 网 网 关 以 及 途径 的 Internet 上 的 各 种 中 间 设 备 ), 从 所 收 
到 的 MAC 帧 中 提取 出 IP 数据 包 , 基 于 该 数据 包 的 目标 IP 地 址 ,运行 路 由 算法 计算 
出 下 一 跳 的 IP 地 址 和 连接 该 IP 地 址 的 网 络 接口 ,然后 将 该 IP 数据 包 再 次 封装 成 
MAC 帧 ,从 相应 的 网 络 接口 中 转发 出 去 。 
在 服务 器 端 ,IP 协议 层 从 所 收 到 的 MAC 帧 中 首先 提取 出 IP 数据 包 , 根 据 该 数据 包 
的 目标 IP 地 址 判断 出 该 数据 包 是 发 往 本 机 的 。 进 行 相应 处 理 后 ,将 卫 包 的 数据 部 分 
交 给 上 层 协议 ,经 传输 层 处 理解 析出 应 用 层 数据 ,并 将 这 些 数据 交 给 应 用 层 进 行 处 理 。 
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图 3-3 非 代理 模式 下 的 网 络 协议 处 理 流程 


从 图 3-3 可 以 看 出 ,在 一 般 模式 的 协议 处 理 流 程 中 ,除非 在 端 系统 (客户 端 或 服务 器 
端 ) ,所 有 网 络 中 间 结 点 都 不 会 将 途经 的 协议 报 文 上 升 到 应 用 层 , 网 络 中 间 结 点 只 是 对 IP 数 
据 包 进行 路 由 和 转发 处 理 。 一 般 情 况 下 ,IP 数据 包 在 中 间 的 传递 环节 是 不 做 任何 修改 的 ， 
除非 需要 进行 IP 分 片 。 


3.5.2 代理 模式 下 的 协议 处 理 流 程 
为 了 一 些 特 殊 目 的 ,如 网 络 地 址 公用 、 安 全 控制 等 ,一 些 应 用 层 协议 (FTP、HTTP 等 ) 
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开始 支持 代理 模式 下 的 网 络 访问 ,也 就 是 说 在 客户 端 和 服务 器 之 间 存 在 一 个 应 用 代理 服 
务 器 。 

理论 上 ,从 所 处 的 物理 结构 来 看 ,应 用 代理 服务 器 并 不 一 定 要 位 于 与 客户 端 相同 的 局 域 
网 内 ,其 也 不 一 定 要 位 于 客户 端 和 网 关 之 间 。 但 如 果 需 要 在 应 用 代理 服务 器 上 实现 安全 控 
制 功能 , 则 该 代理 服务 器 就 应 位 于 客户 端 与 服务 器 之 间 的 访问 路 径 中 ,这 里 只 讨论 这 种 网 络 
结构 ,如 图 3-4 所 示 。 这 里 假定 客户 端 为 局 域 网 LANA 中 的 HostAi, 服 务 器 为 局 域 网 
LANs 中 的 HostBi ,App_Proxy 为 位 于 客户 端 和 服务 器 间 的 应 用 代理 服务 器 。 


HostAl HostB1 
HostAi — App_Proxy 1 GatewayA GatewayB FE— HostBi 
HostAN 所 HostBw 
LANA LANB 


图 3-4 代理 模式 下 的 网 络 结构 


从 网 络 服务 的 逻辑 关系 上 看 ,代理 模式 下 的 代理 服务 器 对 应 两 个 角色 : 对 内 网 的 客户 
端 而 言 , 它 相当 于 外 网 的 服务 器 ; 对 外 网 的 服务 器 而 言 , 它 相当 于 请 求 服务 的 网 络 客户 端 。 
事实 上 ,代理 服务 器 的 主要 功能 分 为 两 个 模块 : 一 个 是 对 内 网 客户 端 模拟 服务 器 的 代理 服 
务 器 模块 ; 另 一 个 是 对 外 网 服务 器 模拟 客户 端的 代理 客户 端 模 块 。 这 里 假定 这 两 个 模块 对 
外 提供 的 IP 地 址 和 端口 分 别 为 s:t 和 p:q。 


让 
! m:n->s:t) 
mn ~ T--- Ss:t/p:q 
， 


| 

1 

省 1 P | 
MAC | ”一 | MAc 


App_Proxy GatewayA GatewayB 


3-5 ”代理 模式 下 的 网 络 协议 处 理 流程 


代理 模式 下 的 协议 处 理 流程 如 图 3-5 所 示 , 这 里 假定 客户 端的 IP 地 址 和 端口 为 m:n， 
服务 器 的 IP 地 址 和 端口 为 x:y。 各 网 络 结 点 上 的 协议 处 理 过 程 概括 如 下 : 

。 客户 端 : 在 应 用 层 ,与 服务 器 的 应 用 会 话 数据 将 会 按照 代理 协议 的 格式 和 要 求 , 被 
封装 在 发 往 代 理 服 务 器 的 应 用 会 话 中 ,然后 该 应 用 会 话 经 过 TCP/IP 协议 的 逐 层 处 
理 , 被 封装 成 源 IP 地 址 和 源 端 口 为 m:n、 目标 IP 地 址 和 目的 端口 为 s:t 的 IP 数据 
包 ( 记 作 m:n 一 >s:t) ,然后 封装 在 MAC 帧 中 传输 到 硬件 链 路 上 。 
代理 服务 器 端 : 从 所 收 到 的 MAC 帧 中 ,IP 协议 层 首先 提取 出 IP 数据 包 , 根 据 该 数 
据 包 的 目标 IP 地 址 判断 出 该 数据 包 是 发 往 本 机 的 。 进 行 相应 处 理 后 ,将 IP 包 中 的 
数据 部 分 交 给 上 层 协议 ,经 传输 层 解析 出 应 用 层 数据 ,并 将 这 些 数据 交 给 应 用 层 进 
行 处 理 。 应 用 代理 服务 器 基于 代理 协议 从 中 解析 出 所 代理 的 应 用 会 话 数据 ,然后 该 
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应 用 会 话 经 过 TCP/IP 协议 的 逐 层 向 下 处 理 , 先 被 封装 成 源 IP 地 址 和 端口 为 
p:q\ 目 标 IP 地 址 和 端口 为 x:y 的 IP 数据 包 ( 记 作 p:q 一 之 x:y), 最 后 封装 在 MAC 
帧 中 传输 到 硬件 链 路 上 。 
网 络 中 间 结 点 : 从 所 收 到 的 MAC 帧 中 ,提取 出 IP 数据 包 , 基 于 该 数据 包 的 目标 IP 
地 址 运行 路 由 算法 ,计算 出 下 一 跳 的 IP 地 址 和 连接 该 IP 地 址 的 网 络 接口 ,然后 将 
该 IP 数据 包 再 次 封装 成 MAC 帧 从 相应 的 网 络 接口 中 转发 出 去 。 
服务 器 端 : 从 所 收 到 的 MAC 帧 中 ,IP 协议 层 首先 提取 出 IP 数据 包 ,根据 该 数据 包 
的 目标 IP 地 址 判断 出 该 数据 包 是 发 往 本 机 的 。 进 行 相应 处 理 后 ,将 IP 包 的 数据 部 
分 交 给 上 层 协议 ,经 传输 层 处 理解 析出 应 用 层 数 据 ,并 将 这 些 数 据 交 给 应 用 层 进行 
处 理 。 
从 上 面 的 协议 处 理 流 程 可 以 看 出 以 下 几 个 特点 。 
。 客户 端 发 出 的 IP 数据 包 , 其 目标 IP 地 址 和 目标 端口 为 s:t, 这 意味 着 客户 端 直接 和 
代理 服务 器 发 起 会 话 ,但 会 话 的 内 容 是 让 代理 服务 器 代替 自己 与 服务 器 进行 网 络 
会 话 。 
服务 器 收 到 的 IP 数据 包 , 其 源 IP 地 址 和 源 端口 为 p:q, 服 务 器 感觉 是 与 代理 服务 器 
进行 网 络 会 话 , 但 并 不 知道 是 代理 服务 器 自身 与 其 会 话 ,还 是 代理 其 他 客户 端 与 其 
会 话 。 

值得 注意 的 是 ,代理 模式 下 客户 端 是 知道 代理 服务 器 存在 的 ,因此 网 络 用 户 在 使 用 外 网 
提供 的 网 络 服务 时 ,要 配置 代理 服务 器 的 IP 地 址 与 端口 。 如 使 用 IE 浏览 器 时 , 单 击 菜单 
“选项 ”|“Internet 选项 ”, 在 所 显示 的 对 话 框 中 单 击 “ 连 接 ”| “局域网 设置 ”选项 ,设置 应 用 代 
理 服务 器 的 IP 地 址 和 端口 。 这 样 IE 在 与 外 网 服务 器 进行 会 话 时 ,会 启用 所 设置 的 代理 ,从 
而 将 与 服务 器 的 网 络 会 话 封装 在 与 代理 服务 器 的 网 络 会 话 中 进行 。 


3.5.3 网 络 防火 墙 的 IP 层 接 入 


前 面 提 到 ,网 络 防火 墙 的 网 络 访问 判决 结果 要 能 够 影响 到 网 络 访问 的 协议 处 理 流 程 才 
能 真正 生效 。 同 样 网 络 访问 截获 也 需要 在 网 络 访问 所 经 过 的 网 络 路 径 上 ,因此 需要 将 网 络 
防火 墙 (主要 是 其 中 的 访问 截获 和 控制 实施 部 分 ) 嵌 入 到 原 有 的 网 络 协议 处 理 流 程 中 ,这 就 
是 网 络 防火 墙 的 网 络 访问 接 和 人 。 

在 实现 网 络 防火 墙 的 网 络 访问 接 人 时 ,一 个 最 基本 的 原则 就 是 接 和 点 一 定 要 在 网 络 访 
问 的 必 经 之 处 ,否则 该 网 络 防火 墙 就 有 可 能 被 绕 过 ,从 而 起 不 到 安全 控制 的 作用 。 对 应 
3.5.1 节 和 3.5.2 节 的 两 种 网 络 服务 模式 ,在 网 络 中 分 别 存在 两 种 比较 合适 的 位 置 来 嵌入 
网 络 防火 墙 的 网 络 数据 截获 和 控制 实施 模块 , 即 一 般 模式 下 的 网 关 IP 层 和 代理 模式 下 的 应 
用 代理 服务 器 。 本 节 和 下 节 分 别 详细 阐述 网 络 防火 墙 的 这 两 种 接 人 方式 。 

网 关 作 为 局 域 网 的 出 入 口 ,局 域 网 内 主机 和 外 部 网 络 主机 间 的 任何 网 络 访问 ,不 管 是 内 
网 主机 访问 外 网 ,还 是 外 网 主机 访问 内 网 ,其 网 络 访问 都 要 经 过 网 关 。 因 此 在 网 关中 能 入 网 
络 防 火 墙 的 访问 截获 和 控制 实施 模块 比较 合适 。 

从 图 3-3 所 示 的 网 络 协议 处 理 流程 可 以 看 出 ,网 关 主要 在 IP 协议 层 实现 IP 数据 包 的 
路 由 和 转发 ,对 应 网 络 访问 的 网 络 数据 报 文 只 能 到 达 IP 层 , 不 会 上 传 到 传输 层 , 更 不 会 上 传 
到 应 用 层 。 因 此 在 网 关上 实现 网 络 防火 墙 接 入 时 ,要 将 防火 墙 的 访问 截获 和 控制 实施 模块 
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嵌入 到 IP 协议 层 中 ,具体 包括 : 
。 截 获 IP 数据 包 : 在 网 关 的 原 有 IP 协议 处 理 流程 中 加 入 截获 IP 数据 包 的 操作 ,以 便 
于 知道 有 哪些 IP 报 文 拟 经 过 该 网 关 , 同 时 获得 这 些 IP 数据 包 的 网 络 访问 属性 ,从 
而 基于 这 些 属性 给 出 放行 还 是 阻止 该 IP 数据 包 的 访问 判决 。 
。 控制 数据 包 的 转发 : 在 网 关 的 原 有 IP 协议 处 理 层 罕 入 控制 操作 ,这 些 操作 能 够 根据 
访问 判决 结果 ,影响 和 改变 固有 的 IP 包 处 理 方式 , 阻 断 那些 访问 判决 结果 为 阻止 的 
IP 数据 包 通 过 网 关 。 


3.5.4 网 络 防火 墙 的 应 用 代理 接 入 


如 果 一 个 网 络 结构 中 采用 了 应 用 代理 服务 器 , 即 局 域 网 中 所 有 对 外 的 网 络 访问 都 通过 
代理 服务 器 ,或 内 部 主机 通过 代理 服务 器 来 对 外 提供 网 络 服务 ( 注 : 这 种 情况 下 的 代理 服务 
器 通常 被 称 为 反 向 代理 服务 器 ) ,在 代理 服务 器 中 嵌入 防火 墙 的 网 络 访问 截获 和 控制 实施 模 
块 就 非常 合适 ,具体 为 : 

。 应 用 层 会 话 的 截获 和 分 析 : 网 络 防 火 墙 需要 将 网 络 会 话 截获 和 分 析 的 相关 代码 赔 

和 到 应 用 代理 服务 器 中 ,获得 所 有 需要 进行 代理 的 网 络 会 话 , 并 对 网 络 会 话 的 访问 
属性 进行 分 析 , 以 便 基于 所 分 析出 的 访问 属性 对 网 络 会 话 进行 控制 。 

。 应 用 层 会 话 的 代理 控制 实施 : 网 络 防火 墙 需要 将 网 络 会 话 代 理 控制 的 相关 代码 赔 

入 到 应 用 代理 服务 器 中 ,从 而 控制 应 用 代理 服务 器 对 代理 会 话 的 处 理 流程 ,让 其 不 
代理 那些 判决 结果 为 阻止 的 网 络 会 话 ,使 得 这 些 网 络 会 话 无 法 通过 应 用 代理 服 
务 器 。 

事实 上 ,在 网 络 防火 墙 的 这 种 接 入 方式 下 ,应 用 代理 服务 器 和 网 络 防火 墙 常常 统一 在 一 
起 实现 , 即 通常 所 说 的 应 用 代理 防火 墙 。 应 用 代理 服务 器 在 代理 网 络 会 话 时 ,一 般 都 会 基于 
一 定 的 原则 对 所 代理 的 网 络 会 话 进行 控制 ,将 二 者 集成 在 一 起 实现 是 合理 的 。 


3.6 网 络 访问 的 控制 粒度 


网 络 访问 控制 层次 是 网 络 防 火 墙 的 一 个 核心 问题 , 即 该 防火 墙 在 哪个 协议 层次 上 进行 
网 络 访问 控制 ,或 者 说 以 什么 访问 粒度 (如 IP 数据 包 、 应 用 会 话 等 ) 为 单位 进行 网 络 访问 控 
制 。 对 应 于 上 面 提 到 的 网 络 防火 墙 两 种 访问 接 和 人 层次 ,很 自然 地 存在 两 种 不 同 的 访问 控制 
粒度 ,这 两 种 访问 控制 粒度 存在 截然 不 同 的 特点 。 

如 果 将 网 络 防火 墙 的 控制 接 和 到 网 络 的 IP 协议 处 理 流 程 中 ,防火 墙 所 能 够 获得 的 网 络 
访问 对 象 为 一 个 个 独立 的 IP 数据 包 ,网 络 防火 墙 实 际 上 就 是 对 这 些 IP 数据 包 依 据 访问 控 
制 规则 进行 控制 。 这 意味 着 : 

。 在 进行 具体 的 访问 控制 时 ,防火 墙 只 能 分 析出 基于 IP 数据 包 层面 的 网 络 访问 属性 ， 

如 访问 的 源 地 址 等 ,并 基于 这 些 访问 属性 进行 访问 控制 规则 选取 ,以 及 解释 和 执行 
相应 的 访问 控制 规则 以 形成 访问 判决 。 

。 访问 控制 规则 中 涉及 到 的 访问 属性 仅 限 于 IP 数据 包 层面 , 即 通过 分 析 某 IP 数据 包 

能 够 获得 的 这 些 网 络 属性 。 相 应 地 ,3. 3. 1 节 提 到 的 访问 控制 规则 配置 平台 只 支持 
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在 这 些 访问 属性 基础 上 设置 控制 规则 ,否则 即使 配置 出 访问 属性 超出 IP 包 层 面 的 
控制 规则 ,在 进行 访问 控制 判决 时 ,也 不 能 解释 和 执行 这 些 规则 。 

为 了 覆盖 更 多 的 IP 报 文 控制 要 素 ,实际 上 有 些 防火 墙 尽管 实现 的 是 IP 层 接 入 控制 ,还 
会 对 单个 IP 数据 包 适 当地 分 析 其 上 层 协 议 , 如 进行 传输 层 协议 的 分 析 , 提 取出 相应 的 源 端 
口 和 目标 端口 信息 ,并 以 此 进行 控制 。 

如 果 将 网 络 防 火 墙 的 控制 接 入 到 应 用 代理 服务 器 中 ,网 络 防 火 墙 所 能 够 获得 的 网 络 访 
问 对 象 对 应 为 一 个 个 独立 的 网 络 会 话 , 基 于 相应 的 访问 控制 规则 ,网 络 防火 墙 对 这 些 网 络 会 
话 进行 控制 。 这 意味 着 : 

。 网 络 防火 墙 以 单个 的 网 络 会 话 为 控制 对 象 , 分 析出 该 网 络 会 话 相 应 的 网 络 访问 属 
性 ,从 而 顺利 地 选取 合适 的 访问 控制 规则 ,并 解释 和 执行 该 规则 以 形成 对 每 个 网 络 
会 话 的 判决 。 
访问 控制 规则 中 涉及 到 的 访问 属性 主要 是 网 络 会 话 层次 的 特征 信息 。 如 对 SMTP 
的 网 络 会 话 而 言 ,可 从 该 会 话 中 分 析 邮 件 的 收 件 人 、 邮 件 附件 类 型 和 长 度 等 ,可 以 基 
于 这 些 会 话 层次 上 的 访问 属性 配置 访问 控制 规则 。 
由 于 网 络 防火 墙 在 截获 会 话 后 ,可 以 借助 操作 系统 提供 的 一 些 调用 接口 获得 该 会 话 
的 底层 协议 属性 (如 源 IP 地 址 和 目标 IP 地 址 , 源 端 口 和 目标 端口 等 ), 因 此 访问 控 
制 规 则 中 也 可 以 包含 底层 协议 对 应 的 访问 属性 。 

通常 在 应 用 会 话 层 实现 网 络 访问 控制 ,其 访问 控制 规则 可 以 包含 更 多 的 语义 信息 ,尤其 
是 一 些 网 络 应 用 特征 的 信息 ,因此 访问 控制 的 语义 更 加 完整 控制 准确 性 更 高 。 另 一 方面 ， 
由 于 在 应 用 会 话 层 实现 访问 控制 ,网 络 报 文 数据 要 到 达 应 用 层 , 需 经 过 传输 层 和 应 用 层 协 议 
处 理 , 通 常 而 言 其 运行 效率 相对 较 低 ,网 络 防 火 墙 的 存在 可 能 会 影响 原 有 的 网 络 处 理性 能 ， 
降低 内 部 网 络 访问 外 部 网 络 的 实际 带宽 。 

在 IP 层 实 现 网 络 访问 控制 ,其 只 能 对 单个 IP 报 文 进行 控制 ,而且 控制 所 依赖 的 要 素 请 
义 层 次 比较 低 , 如 源 IP 地 址 和 目标 IP 地 址 等 ,无 法 实现 基于 应 用 层 语义 信息 (如 邮件 的 收 
件 人 等 ) 的 控制 。 另 一 方面 ,该 类 防火 墙 的 实现 通常 具有 较 高 的 效率 ,一 般 不 会 大 幅度 降低 
原 有 的 网 络 处 理性 能 。 


3.7 本 章 小 结 


网 络 防火 墙 是 目前 最 重要 、 也 是 最 流行 的 一 种 安全 工具 ,通常 部 署 在 内 部 网 络 (局 域 网 ) 
连接 外 部 网 络 (Internet 等 ) 的 网 络 出 口 处 ,对 所 有 内 外 网 之 间 的 网 络 访问 进行 相应 的 检查 
和 控制 ,从 而 实现 对 内 部 网 络 的 安全 保护 。 网 络 访 问 控 制 功能 是 网 络 防火 墙 的 核心 功能 ,网 
络 防火 墙 实现 网 络 访问 控制 的 关键 是 如 何 甄别 哪些 网 络 访问 是 正当 的 应 该 让 其 通过 的 ,而 
哪些 网 络 访问 是 恶意 的 或 不 正当 的 、 应 该 阻 断 的 。 一 般 的 网 络 防火 墙 无 法 对 网 络 访问 的 正 
当 性 实现 全 智能 化 地 识别 ,因而 需要 防火 墙 管理 员 就 具体 网 络 访问 是 否 正当 的 判别 依据 进 
行 设置 。 

在 逻辑 结构 上 ,网 络 防 火 墙 可 以 分 为 三 大 功能 模块 , 即 访问 控制 规则 配置 模块 ,网 络 访 
问 截获 和 控制 模块 ,以 及 网 络 访问 判决 模块 ,此 外 网 络 防火 墙 还 需 一 个 保存 访问 控制 规则 的 
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数据 库 。 网 络 防火 墙 要 在 一 个 网 络 中 实现 真正 的 网 络 访问 控制 ,其 网 络 访问 截获 和 控制 模 
块 应 该 嵌入 到 原 有 网 络 的 协议 处 理 流程 中 ,这 样 才能 截获 网 络 访问 以 及 影响 和 改变 网 络 访 
问 处 理 流 程 ,从 而 真正 落实 网 络 防火 墙 的 访问 判决 。 在 TCP/IP 协议 体系 结构 下 ,通信 双方 
以 客户 /服务 器 的 形式 存在 , 除 一 般 的 网 络 应 用 服务 模式 外 ,主要 的 应 用 层 协议 (如 FTP、 
HTTP 等 ) 都 支持 服务 代理 模式 。 代 理 模 式 下 的 网 络 协议 处 理 流程 和 非 代理 模式 下 的 网 络 
协议 处 理 流程 存在 本 质 的 不 同 , 对 应 这 两 种 网 络 服务 模式 ,存在 两 种 位 置 便于 嵌入 网 络 防火 
墙 的 网 络 数据 截获 和 控制 模块 , 即 一 般 模 式 下 的 网 关 IP 层 和 代理 模式 下 的 应 用 代理 层 。 

在 应 用 代理 层 实现 网 络 访问 控制 ,其 访问 控制 规则 可 以 包含 更 多 的 语义 信息 ,尤其 是 一 
些 网 络 应 用 特征 的 信息 ,因此 访问 控制 的 语义 更 加 完整 ,准确 性 更 高 。 另 一 方面 ,由 于 在 应 
用 会 话 层 实现 访问 控制 时 ,网 络 数据 要 到 达 应 用 层 , 需 要 经 过 传输 层 和 应 用 层 协议 处 理 , 通 
常 其 运行 效率 相对 较 低 。 在 网 关 的 IP 层 实施 网 络 访问 控制 则 正好 相反 ,其 运行 效率 较 高 ， 
但 访问 控制 的 语义 层次 低 。 


习 题 


. 简单 阐述 网 络 防火 墙 的 基本 功能 。 
. 网 络 防火 墙 判定 一 个 网 络 数据 包 是 否 应 该 放行 的 依据 是 什么 ? 
. 一 般 的 网 络 防火 墙 中 ,其 访问 控制 规则 通常 包含 哪些 要 素 ? 
. 基于 访问 控制 规则 的 访问 判决 形成 一 般 包 含 哪些 具体 过 程 ? 
. 有 些 网 络 防火 墙 的 访问 控制 规则 配置 模块 具有 访问 控制 规则 检查 功能 ,这 些 检查 功 
能 具体 包括 哪些 ? 
6. 简 述 非 代理 模式 下 , 报 文 从 客户 端 发 出 到达 应 用 服务 器 过 程 中 的 具体 协议 处 理 
流程 。 
7. 用 实例 的 形式 给 出 代理 模式 下 的 网 络 结构 。 
8. 在 Web 代理 模式 下 , Web 浏览 器 是 如 何 知道 代理 服务 器 的 IP 地 址 的 ? 
9. 简 述 代理 模式 下 , 报 文 从 客户 端 发 出 、 到 达 应 用 服务 器 过 程 中 的 具体 协议 处 理 流程 。 
10. 将 网 络 防火 墙 的 报 文 截获 和 控制 模块 嵌入 到 网 络 协议 处 理 流程 中 的 具体 方式 有 哪 
两 种 ?分 别 简 述 它 们 的 特点 。 
11. 分 别 在 网 关 IP 层 和 代理 服务 器 中 实现 网 络 访问 控制 时 ,其 控制 对 象 和 控制 要 素 各 
有 什么 特点 ? 
12. 对 比分 别 在 网 关 IP 层 和 代理 服务 器 中 实现 网 络 访问 控制 时 的 控制 效率 。 


wD 
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第 3 章 详 细 曾 述 了 网 络 防火 墙 所 接 入 的 网 络 协 议 层次 ,从 中 可 以 看 出 ,网 络 防火 墙 的 协 
议 接 入 层次 完全 决定 了 网 络 防火 墙 的 各 种 基本 特性 ,如 网 络 访问 控制 的 对 象 (网 络 会 话 、 单 
个 IP 报 文 等 ), 以 及 网 络 访问 控制 的 要 素 (IP 地 址 、 邮 件 收 件 人 等 ) 等 。 其 至 还 要 影响 到 网 
络 的 服务 方式 ,如 以 应 用 代理 的 形式 实现 网 络 防火 墙 的 接 入 ,需要 网 络 用 户 在 使 用 该 防火 墙 
时 设置 相应 的 代理 服务 器 。 因 此 ,网 络 防 火 墙 依据 接 入 协议 层次 的 不 同 , 被 分 为 IP 报 文 过 
滤 防 火 墙 和 应 用 代理 型 防火 墙 这 两 种 基本 类 型 。 

IP 报 文 过 滤 防 火 墙 在 网 络 IP 层 接 人 到 原 有 的 网 络 协议 处 理 中 ,其 通常 对 单个 的 IP 数 
据 包 进行 控制 ,因此 常 被 简称 为 包 过 滤 防 火 墙 。 应 用 代理 型 防火 墙 以 应 用 代理 服务 器 的 形 
式 接 人 到 原 有 的 网 络 协议 处 理 中 ,对 应 用 会 话 进行 控制 ,该 类 防火 墙 又 称 为 应 用 代理 防火 
墙 ,简称 代理 防火 墙 。 

由 于 一 些 配置 管理 等 方面 的 需求 ,市场 还 出 现 了 一 种 特殊 的 网 络 防火 墙 , 该 网 络 防火 墙 
的 协议 接 和 人 层次 在 网 关 的 IP 协议 层 ,而 控制 层次 在 应 用 会 话 层 ,这 就 是 信息 安全 界 常 说 的 
透明 代理 防火 墙 。 另 外 ,为 了 提高 包 过 滤 防 火 墙 对 网 络 数据 控制 的 语义 层次 ,以 及 简化 网 络 
防火 墙 的 管理 配置 任务 ,近年 来 开始 出 现 了 一 些 新 型 的 网 络 防火 墙 ,如 混合 防火 墙 、 动 态 包 
过 滤 防 火 墙 等 。 

本 章 分 三 节 逐 一 详细 阐述 包 过 滤 防 火 墙 ,应 用 代理 防火 墙 . 透 明代 理 防 火 墙 这 三 种 防火 
墙 的 工作 原理 .工作 流程 及 相应 的 优 缺 点 。 在 4.4 节 中 对 新 型 的 网 络 防火 墙 进行 简单 介绍 。 


4.1 包 过 滤 防 火 墙 原理 及 特征 


包 过 滤 防 火 墙 的 “过 滤 ? 二 字形 象 地 表明 包 过 滤 防 火 墙 的 主要 功能 , 即 对 所 通过 的 IP 数 
据 包 按照 既定 的 包 过 滤 规 则 (在 包 过 滤 防 火 墙 中 ,访问 控制 规则 通常 被 称 为 包 过 滤 规 则 ) 进 
行 检查 和 控制 ,“ 过 滤 ” 掉 不 能 满足 要 求 的 IP 数据 包 , 即 不 让 这 些 数据 包 通 过 网 络 防 火 墙 。 


4.1.1 包 过 滤 防 火 墙 工作 原理 


包 过 滤 防 火 墙 通常 嵌入 在 连接 内 外 网 的 路 由 器 (或 网 关 ) 上 实现 。 普 通 的 路 由 器 只 检查 
数据 包 的 目标 地 址 ,并 选择 一 个 达到 目标 地 址 的 最 佳 路 径 。 它 处 理 IP 数据 包 是 以 目标 地 址 
为 基础 的 , 若 路 由 器 可 以 找到 一 条 路 径 到 达 目 标 地 址 , 则 将 该 数据 包 从 指定 网 络 接口 发 送出 
去 ,车 路 由 器 不 知道 如 何 发 送 该 数据 包 , 则 通知 数据 包 的 发 送 者 “数据 包 不 可 达 ”。 

嵌入 包 过 滤 防 火 墙 的 路 由 器 (简称 过 滤 路 由 器 ) 会 仔细 地 检查 所 经 过 的 IP 数据 包 , 除 了 
决定 是 否 有 到 达 目 标 地 址 的 路 径 外 , 包 过 滤 防 火 墙 还 将 对 每 一 个 接收 到 的 数据 包 做 出 允许 
或 拒绝 通过 的 决定 , 即 针 对 每 一 个 数据 包 的 包头 ,按照 包 过 滤 规 则 进行 判定 ,规则 允许 通行 
的 数据 包 依据 路 由 信息 继续 转发 ,否则 就 丢弃 该 数据 包 。 


第 4 章 网 络 防火 墙 的 技术 类 型 47 


包 过 滤 防 火 墙 的 包 过 滤 操 作 是 在 IP 层 实现 的 ,根据 数据 包 的 源 IP 地 址 .目标 IP 地 址 、 
协议 类 型 (TCP .UDP ICMP 等 )` 源 端口 .目的 端口 .ICMP 消息 类 型 等 报头 信息 及 数据 包 
传输 方向 等 信息 来 判断 是 否 允许 数据 包 通 过 。 

常见 的 过 滤 规 则 具体 有 以 下 类 型 。 

。 拒绝 /允许 来 自 ( 或 到 达 ) 某 主机 或 某 网 段 的 所 有 IP 数据 包 。 

。 拒绝 /允许 来 自 (或 到 达 ) 某 主机 或 某 网 段 的 指定 端口 的 IP 数据 包 。 

。 拒绝 /允许 某 种 协议 类 型 (TCP、UDP、ICMP 等 ) 的 IP 数据 包 。 


4.1.2 包 过 滤 防火 墙 工作 流程 


对 照 第 3 章 中 网 络 防 火 墙 的 基本 原理 , 包 过 滤 防 火 墙 的 报 文 处 理 流程 可 大 致 概括 如 下 : 

(1) 从 网 关 ( 或 路 由 器 ) 的 IP 协议 层 截获 所 有 经 过 该 网 关 的 IP 数据 包 , 或 者 截获 需要 
进行 控制 的 IP 数据 包 。 

(2) 对 截获 的 IP 数据 包 的 包头 ( 即 IP 或 TCP/UDP 协议 头 ) 进 行 分 析 , 提 取 相 应 的 网 
络 访问 属性 ( 源 IP 地 址 .目标 IP 地 址 、 源 端口 .目标 端口 .协议 类 型 等 ) 。 

(3) 根据 IP 数据 包 的 网 络 访问 属性 ,选取 适合 于 该 IP 数据 包 的 包 过 滤 规 则 。 通 常情 
况 下 , 包 过 滤 防 火 墙 以 协议 类 型 为 主 关键 字 来 组 织 包 过 滤 规 则 。 

(4) 基于 IP 数据 包 的 网 络 访问 属性 ,解释 或 执行 所 选取 的 包 过 滤 规 则 ,得 出 针对 该 IP 
数据 包 的 访问 判决 , 即 放行 或 阻止 该 IP 数据 包 。 若 没有 找到 适合 该 IP 数据 包 的 包 过 滤 规 
则 , 则 根据 默认 的 包 处 理 方式 (或 默认 规则 ) 得 到 该 IP 数据 包 的 访问 判决 。 

(5) 根据 判决 结果 ,直接 丢弃 所 截获 的 IP 数据 包 , 或 者 让 IP 协议 层 继续 进行 路 由 处 
理 , 实 现 该 IP 数据 包 的 转发 。 


4.1.3 包 过 滤 防 火 墙 的 优 缺 点 


对 比 下 一 节 将 要 讲 到 的 应 用 代理 防火 墙 , 包 过 滤 防 火 墙 具有 明显 的 优点 ,具体 体现 在 以 
下 方面 。 
。 包 过 滤 防 火 墙 工作 在 IP 层 , 与 应 用 层 不 相关 ,不 需要 改变 客户 端的 任何 应 用 程序 或 
设置 ,也 无 需 对 内 部 网 络 用 户 进行 相关 使 用 培训 ,因而 很 容易 接 入 到 现存 的 网 络 环 
境 中 。 
。 包 过 滤 防 火 墙 工作 在 IP 层 , 最 多 分 析 所 对 应 的 传输 层 协议 ( 即 获得 端口 等 相关 的 属 
性 信息 ) ,协议 处 理 比 较 简单 ,所 以 处 理 包 的 速度 比 应 用 代理 防火 墙 快 。 
" 包 过 滤 防 火 墙 实现 相对 简单 ,甚至 可 以 集成 到 原 有 的 路 由 器 中 。 目 前 很 多 网 络 路 由 
器 都 有 IP 包 过 滤 功 能 ,它们 在 逻辑 上 可 以 认为 是 包 过 滤 防 火 墙 。 
包 过 滤 防 火 墙 针对 IP 数据 包 进 行 报 文 过 滤 ,而 不 是 对 应 用 层 会 话 进行 网 络 访问 控制 。 
包 过 滤 防 火 墙 中 的 包 过 滤 操 作 通 过 查看 数据 包 的 源 地 址 .目标 地 址 、\ 源 端口 .目标 端口 来 实 
现 , 它 不 保持 前 后 连接 信息 ,也 不 会 分 析 这 些 IP 数据 包 的 上 层 语义 信息 。 因 此 , 包 过 滤 防 火 
墙 也 存在 明显 的 不 足 ,具体 体现 在 以 下 方面 。 
。 包 过 滤 防 火 墙 在 IP 层 实 施 网 络 访问 控制 ,而 用 户 认证 是 应 用 层 的 概念 ,因此 包 过 滤 
防火 墙 不 支持 有 效 的 用 户 级 认证 。 
。 包 过 滤 防 火 墙 一 般 基于 单个 IP 数据 包 进行 控制 ,很 少 分 析 IP 数据 包 之 间 的 关系 以 
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及 所 对 应 的 高 层 语义 信息 。 由 于 单个 IP 数据 包 的 语义 层次 低 , 所 对 应 的 高 层 语义 
信息 不 明确 ,难以 实现 应 用 会 话 级 的 网 络 访问 控制 ,只 能 基于 IP 数据 包 的 访问 属性 
进行 网 络 访问 控制 。 

包 过 滤 防 火 墙 所 能 接触 的 信息 较 少 ,生成 的 日 志 通 常 只 包括 通过 数据 包 捕获 的 通信 
时 间 、 网 络 层 的 IP 地 址 、 传 输 层 的 端口 等 非常 低层 的 信息 。 安 全 管理 员 难 以 从 IP 
数据 包 记录 中 获得 直接 有 用 的 信息 ,这 在 发 生 安全 事件 时 给 管理 员 的 安全 审计 带 来 
很 大 的 困难 。 显 而 易 见 ,对 安全 管理 员 而 言 ,一 条 诸如 “几时 几 分 从 某 IP 某 端口 向 
某 IP 某 端口 发 送 了 一 个 IP 数据 包 ? 之 类 的 日 志 记录 ,明显 没有 诸如 “几时 几 分 某 IP 
上 某 用 户 从 某 FTP 服务 器 下 载 了 一 个 某 某 文件 ”的 日 志 记 录 直 观 和 有 用 。 

从 IP 数据 包 过 滤 功 能 上 看 , 包 过 滤 防 火 墙 按 一 定 的 包 过 滤 规 则 控制 IP 报 文 的 通行 ,不 
具有 屏蔽 内 部 网 络 细节 的 作用 。 但 几乎 在 所 有 的 商用 包 过 滤 防 火 墙 中 ,都 集成 了 网 络 地 址 
转换 ( 即 NAT) 功 能 , 即 当 内 部 的 计算 机 要 与 外 部 Internet 网 络 进行 通信 时 , 包 过 滤 防 火 墙 
将 其 内 部 客户 机 的 地 址 和 端口 转换 为 本 防火 墙 的 地 址 和 端口 。 一 个 企业 如 果 不 想 让 外 部 网 
络 用 户 知道 自己 的 网 络 内 部 结构 ,可 以 通过 该 防火 墙 中 的 NAT 功能 将 内 部 网 络 与 外 部 
Internet 隔离 开 , 外 部 用 户 就 无 法 知道 内 部 网 络 主机 的 IP 地 址 。 


4.2 应 用 代理 防火 墙 原理 与 特征 


从 协议 处 理 层 次 上 看 , 包 过 滤 防 火 墙 工 作 在 IP 层 , 对 经 过 的 IP 数据 包 进 行 控制 ,而 应 
用 代理 防火 墙 工作 在 应 用 层 , 以 一 种 特殊 网 络 服务 器 的 形式 存在 ， 对 经 过 其 代理 的 每 个 应 用 
会 话 进行 控制 。 


4.2.1 应 用 代理 防火 墙 工 作 原理 


应 用 代理 防火 墙 采取 的 是 一 种 代理 机 制 ,可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代理 ， 
所 以 内 外 网 之 间 的 通信 不 是 直接 的 ,都 需 先 经 过 应 用 代理 防火 墙 的 审核 。 审 核 通过 后 再 由 
应 用 代理 防火 墙 代为 连接 ,不 给 内 、 外 网 的 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 外 部 攻 
击 者 入 侵 内 部 网 络 。 

应 用 代理 型 防火 墙 的 组 成 结构 和 工作 原理 如 图 4-1 所 示 。 


请 求 


| 


! 代 理 服务 一 协议 分 析 和 | “| 代理 客户 | 
1 器 模块 一 控制 模块 端 模 块 | 


应 用 代理 防火 堪 


转发 请 求 [日 标 服 
务 器 


客户 端 


转发 响应 


4-1 应 用 代理 防火 墙 的 结构 和 工作 原理 


从 图 4-1 可 看 出 ,应 用 代理 防火 墙 的 核心 是 协议 分 析 和 控制 模块 ,该 模块 基于 接收 到 的 
网 络 请 求 和 响应 ,分 析出 所 对 应 的 网 络 会 话语 义 以 及 相应 的 访问 属性 ,如 服务 类 型 (FTP、 
HTTP、SMTP 等 ) ,然后 基于 这 些 访问 属性 以 及 所 对 应 的 网 络 访问 控制 规则 ,进行 访问 判 
决 ,以 决定 是 继续 代理 该 访问 请 求 和 响应 还 是 阻 断 它们 。 应 用 代理 防火 墙 本 质 上 对 应 一 个 
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能 够 提供 代理 功能 的 网 络 服务 器 ,为 避免 与 网 络 客户 端 所 要 访问 的 网 络 服务 器 CHTTP 服 
务 器 或 FTP 服务 器 等 ) 混 淆 ,本 书 称 后 者 为 目标 服务 器 。 

应 用 代理 防火 墙 工 作 在 网 络 协议 的 最 高 层 , 即 应 用 层 , 其 特点 是 完全 “阻隔 "了 网 络 通信 
流 。 由 于 每 种 应 用 协议 存在 明显 的 不 同 ,应 用 代理 防火 墙 需 要 对 每 种 应 用 服务 分 别 编制 专 
门 的 代理 程序 ,从 而 实现 监视 和 控制 应 用 层 通信 流 的 功能 。 

除了 能 够 对 所 代理 的 网 络 会 话 进行 控制 以 实现 内 部 网 络 的 安全 外 ,应 用 代理 防火 墙 还 
起 到 屏蔽 内 部 网 络 结构 的 作用 ,因为 所 有 的 内 网 用 户 都 是 通过 代理 防火 墙 访问 外 部 网 络 , 从 
外 部 网 络 看 来 ,该 防火 墙 是 唯一 与 之 发 生 网 络 交 互 的 主机 。 这 样 ,Internet 上 的 黑客 或 攻击 
者 就 不 能 探测 到 内 部 网 络 的 主机 ,因而 降低 了 内 部 主机 遭受 外 部 攻击 的 风险 。 


4.2.2 应 用 代理 防火 墙 工 作 流程 


从 图 4-1 可 以 看 出 ,应 用 代理 防火 墙 的 工作 流程 大 致 为 : 

(1) 代理 服务 器 模块 首先 与 客户 端 建立 起 应 用 会 话 连接 ,然后 接收 客户 端 发 来 拟 代理 
访问 的 网 络 请 求 。 经 初步 分 析 后 ,将 该 网 络 请 求 转发 给 协议 分 析 和 控制 模块 。 

(2) 协议 分 析 和 控制 模块 接收 转发 来 的 拟 代理 的 网 络 请 求 ,分 析出 该 网 络 请 求 的 各 种 
属性 特征 ,然后 根据 这 些 属性 特征 选取 对 应 的 访问 控制 规则 ,并 依据 访问 控制 规则 进行 访问 
判决 ,最 后 根据 访问 判决 结果 对 拟 代理 的 网 络 请 求 进行 控制 ,即将 该 网 络 请 求 转发 给 代理 客 
户 端 模块 ,或 通过 代理 服务 器 模块 告知 客户 端 拒绝 该 网 络 请 求 。 

(3) 代理 客户 端 模块 接收 来 自 于 协议 分 析 和 控制 模块 转发 来 的 网 络 请 求 , 并 以 本 机 身 
份 将 这 些 请 求 发 送 给 目标 服务 器 。 之 后 ,该 模块 接收 来 自 于 目标 服务 器 对 该 网 络 请 求 的 响 
应 ,并 将 该 响应 转发 给 协议 分 析 和 控制 模块 。 

(4) 多 数 应 用 代理 防火 墙 只 对 网 络 访问 请 求 进行 控制 ,而 对 许可 请 求 的 响应 不 再 进行 
控制 而 直接 转发 给 代理 服务 器 模块 。 有 些 安全 功能 (如 内 容 过 滤 等 ) 需 要 防火 墙 对 响应 进行 
安全 控制 。 这 种 情况 下 ,由 协议 分 析 和 控制 模块 接收 来 自 于 代理 客户 端 模 块 的 请 求 响应 ,并 
依据 相应 的 访问 控制 判决 结果 来 控制 该 响应 , 即 只 将 获得 许可 的 响应 转发 给 代理 服务 器 
模块 。 

(5) 代理 服务 器 模块 接收 来 自 于 协议 分 析 和 控制 模块 转发 来 的 响应 ,将 其 封装 在 与 客 
户 端 建 立 起 的 会 话 连接 中 转发 给 客户 端 。 


4.2.3 应 用 代理 防火 墙 的 优 缺 点 


应 用 代理 防火 墙 在 应 用 层 上 进行 网 络 访问 控制 ,对 比 包 过 滤 防 火 墙 ,应 用 代理 防火 墙 具 
有 明显 的 优点 ,具体 体现 在 以 下 几 个 方面 。 
*。 应 用 代理 防火 墙 在 应 用 层 实 施 网 络 访问 控制 ,可 以 通过 应 用 层 网 络 协议 与 网 络 客户 
端 交互 用 户 认 证 相关 的 信息 ,从 而 实现 用 户 认证 。 因 而 该 类 型 防火 墙 能 够 基于 用 户 
帐号 和 密码 进行 网 络 访问 控制 。 
”应 用 代理 防火 墙 以 应 用 服务 或 应 用 会 话 为 单位 进行 控制 ,每 个 应 用 服务 和 应 用 会 话 
一 般 具 有 比较 明确 的 高 层 语义 信息 ,如 邮件 服务 的 发 件 人 、FTP 服务 的 下 载 文件 名 
等 ,管理 员 可 以 基于 这 些 高 层 语义 信息 配置 相应 的 访问 控制 规则 。 因 而 该 类 型 防火 
墙 能 够 实现 高 层 语 义 的 访问 控制 。 
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”应 用 代理 防火 墙 能 够 分 析 比 较 高 层 的 语义 信息 ,能够 以 应 用 服务 和 应 用 会 话 为 单位 
进行 日 志 记 录 。 这 类 日 志 记录 能 够 直观 地 对 应 管理 员 所 能 理解 的 网 络 访问 事件 ,如 
在 某 时 间 某 用 户 向 某 邮 件 地 址 发 送 了 一 个 邮件 等 ,这 在 发 生 安全 事件 后 给 管理 员 的 
安全 审计 带 来 很 大 的 帮助 和 便利 。 

应 用 代理 防火 墙 将 内 部 网 络 的 网 络 访问 统一 起 来 ,以 自己 身份 与 外 网 的 服务 器 进行 
通信 。 从 逻辑 上 来 看 ,应 用 代理 防火 墙 相当 于 唯一 的 可 被 外 部 看 见 的 主机 ,从 而 保 
护 内 部 主机 免 受 外 部 攻击 。 应 用 代理 防火 墙 和 下 节 讲 到 的 透明 代理 防火 墙 在 应 用 
时 会 代理 内 网 客户 与 外 部 网 络 进行 交互 。 因 而 这 两 种 防火 墙 能 够 起 到 屏蔽 内 部 网 
络 结构 的 作用 ,内 部 网 络 主机 的 安全 弱点 也 不 会 暴露 给 外 部 网 络 , 这 会 给 网 络 黑 
客 攻击 内 部 网 络 带 来 较 大 的 困难 ,因而 能 够 在 很 大 程度 上 提高 内 部 网 络 的 安 
全 性 。 

应 用 代理 防火 墙 由 于 在 应 用 层 基 于 应 用 会 话 实现 网 络 访问 控制 ,实现 的 协议 层次 高 ,对 
比 包 过 滤 防 火 墙 ,该 类 型 防火 墙 也 存在 明显 的 不 足 , 具 体 体现 在 以 下 几 个 方面 。 

。 对 内 网 用 户 而 言 , 该 类 防火 墙 的 使 用 不 透明 ,需要 更 改 内 部 网 络 的 一 些 网 络 应 用 软 

件 的 设置 。 如 要 在 内 网 主机 上 的 网 络 浏览 器 进行 代理 服务 器 相关 的 设置 ,相当 于 要 
告诉 该 浏览 器 所 启用 的 代理 服务 器 的 地 址 和 端口 ,否则 该 内 网 主机 就 不 能 访问 到 外 
网 中 的 Web 服务 。 
该 类 型 防火 墙 的 速度 相对 比较 慢 , 当 用 户 对 内 外 网 间 的 吞吐 量 要 求 比较 高 时 ,应 用 
代理 防火 墙 就 会 成 为 内 外 部 网 络 之 间 的 瓶颈 。 因 为 该 类 型 防火 墙 需要 为 不 同 的 网 
络 服务 建立 专门 的 代理 服务 ,而 代理 服务 分 别 与 网 络 客户 端 和 目标 服务 器 建立 连接 
需要 额外 的 时 间 开 销 ,所 以 给 系统 的 性 能 带 来 了 一 些 负面 影响 。 相 比 而 言 , 包 过 滤 
防火 墙 直接 在 IP 协议 层 进行 过 滤 和 控制 ,速度 要 快 得 多 。 


4.3 透明 代理 防火 墙 原理 及 特征 


顾名思义 ,透明 代理 防火 墙 在 控制 功能 上 对 应 一 个 应 用 代理 型 防火 墙 , 即 工作 在 应 用 
层 , 对 所 代理 的 每 个 应 用 会 话 进行 控制 。 所 谓 的 “透明 ?是 指 像 包 过 滤 防 火 墙 一 样 ,使 用 该 类 
型 防火 墙 的 内 网 客户 端 感受 不 到 该 防火 墙 的 存在 ,也 无 需 在 浏览 器 (或 其 他 客户 端 软件 ) 中 
进行 代理 服务 器 的 设置 。 


4.3.1 透明 代理 防火 墙 的 技术 背景 


从 4.1 节 可 以 看 出 , 包 过 滤 防 火 墙 的 显著 优点 在 于 直接 工作 在 网 关 的 IP 协议 层 , 内 网 
中 的 网 络 用 户 不 需要 更 改 网 络 软件 设置 (如 配置 代理 服务 器 的 地 址 .端口 等 ), 因 此 该 类 防火 
墙 的 部 署 和 使 用 都 比较 简单 。 不 难 理解 ,在 包含 成 百 上 千 台 主机 的 企 事 业 单位 局 域 网 中 , 包 
过 滤 防 火 墙 的 这 个 优点 显得 非常 重要 ,也 会 大 大 减少 其 实施 费用 (如 客户 端 培训 等 )。 但 包 
过 滤 防 火 墙 在 IP 层 实现 网 络 访问 控制 ,每 个 IP 报 文 很 难 对 应 高 层 语义 信息 ,这 给 控制 规则 
配置 和 安全 审计 都 会 带 来 一 定 困难 。 

从 4.2 节 可 以 看 出 ,应 用 代理 型 防火 墙 与 包 过 滤 防 火 墙 正好 相反 ,该 类 型 防火 墙 可 以 在 
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网 络 会 话 层 进行 访问 控制 ,每 个 控制 对 象 都 对 应 明确 的 高 层 语义 。 因 而 网 络 访问 控制 规则 
易于 配置 且 安 全 性 好 ,防火 墙 的 日 志 也 便于 管理 员 理 解 。 但 是 该 类 型 防火 墙 对 网 络 用 户 不 
透明 ,在 网 络 中 部 署 不 方便 。 

透明 代理 防火 墙 所 和 希望 的 目标 是 通过 一 定 的 技术 手段 ,实现 包 过 滤 防 火 墙 和 应 用 代理 
型 防火 墙 二 者 的 优点 , 既 能 够 像 应 用 代理 防火 墙 一 样 ,在 应 用 层 实 现 基于 网 络 会 话 的 连接 控 
制 并 产生 相应 的 日 志 记录 ,又 能 够 像 包 过 滤 防 火 墙 一 样 对 局 域 网 内 部 的 网 络 用 户 透 明 ,无 需 
对 客户 端 软件 (如 Web 或 FTP 的 客户 端 软件 进行 设置 就 能 完成 内 外 部 网 络 之 间 的 通信 。 


4.3.2 透明 代理 防火 墙 技 术 解析 


从 实现 的 访问 控制 粒度 上 来 看 ,透明 代理 防火 墙 需要 解析 出 一 个 个 应 用 层 会 话 , 需 要 像 
应 用 代理 型 防火 墙 一 样 处 理 每 一 个 网 络 访问 。 同 时 ,透明 代理 防火 墙 也 要 像 包 过 滤 防 火 墙 
一 样 实现 对 网 络 用 户 的 透明 , 即 网 络 用 户 感受 不 到 防火 墙 的 存在 ,从 而 无 需 配 置 客户 端 软 
件 , 因 此 客户 端 所 发 出 的 对 应 应 用 会 话 的 IP 数据 包 , 其 目标 地 址 和 端口 一 定 是 所 要 访问 的 
目标 服务 器 的 地 址 和 端口 。 

网 关 是 局 域 网 连接 外 部 网 络 的 入 口 ,透明 代理 防火 墙 要 实现 内 外 网 间 的 网 络 访问 控制 ， 
需要 在 此 进行 相应 的 检查 和 控制 。 对 一 般 网 关 ( 即 不 实现 透明 代理 功能 的 网 关 ) 而 言 , 局 域 
网 网 关 的 IP 协议 层 在 接收 到 IP 数据 包 后 ,首先 会 基于 该 IP 数据 包 的 目标 地 址 进行 路 由 选 
择 , 由 于 内 网 客户 端 发 出 IP 数据 包 的 目标 IP 地 址 是 外 网 中 目标 服务 器 的 IP 地 址 ,网 关 不 
会 进行 其 他 处 理 , 直 接 依 据 路 由 信息 将 该 包 从 对 应 的 网 络 接口 转发 出 去 。 而 对 内 嵌 透 明代 
理 防火 墙 的 网 关 而 言 , 需 要 更 改 其 IP 协议 层 的 处 理 流程 ,将 这 些 包 截获 并 进行 特殊 的 分 析 
和 处 理 , 而 不 是 直接 转发 出 去 。 

透明 代理 防火 墙 在 对 所 流 经 的 网 络 报 文 实施 应 用 会 话 级 的 网 络 访问 控制 时 ,需要 将 截 
获 的 IP 包 进 行 上 层 协议 分 析 ,从 而 恢复 出 一 个 个 应 用 会 话 ,这 就 需要 该 防火 墙 自己 实现 传 
输 层 协议 和 应 用 层 协 议 的 解析 和 重组 工作 。 然 后 对 这 些 应 用 会 话 进行 高 语义 层次 级 的 访问 
控制 判决 ,对 判决 许可 的 应 用 会 话 ,透明 代理 防火 墙 同 一 般 应 用 代理 型 防火 墙 一样 ,代替 客 
户 端 与 目标 服务 器 进行 网 络 会 话 。 

基于 屏蔽 内 网 结构 等 方面 的 原因 ,同一 般 的 应 用 代理 服务 器 一 样 ,透明 代理 防火 墙 在 代 
替 内 网 客户 端 与 目标 服务 器 发 生 网 络 会 话 时 ,会 以 自己 的 身份 来 进行 会 话 连接 , 即 发 往 目 标 
服务 器 的 IP 数据 包 的 源 地 址 为 网 关外 网 接口 的 IP 地 址 ,而 不 是 客户 端的 IP 地 址 。 同 时 源 
端口 也 发 生 了 改变 ,为 网 关 指 定 的 端口 ,而 不 是 客户 端的 端口 。 在 透明 代理 防火 墙 中 ,IP 数 
据 包 的 处 理 流程 如 图 4-2 所 示 , 其 中 客户 端的 IP 地 址 和 端口 为 m:n, 目 标 服务 器 IP 地 址 和 
端口 为 x:y, 透 明代 理 防 火 墙 中 代替 客户 端 与 目标 服务 器 连接 的 IP 地 址 和 端口 为 p:q。 

从 逻辑 上 讲 ,透明 代理 防 火 墙 需要 改变 所 在 网 关 的 IP 协议 处 理 流程 ,这 需要 在 网 关 的 
IP 协议 层 实现 。 然 而 对 大 多 数 操作 系统 而 言 , 其 IP 协议 都 是 实现 在 系统 内 核 层 。 如 果 将 
透明 代理 防火 墙 全 部 放 在 IP 层 实现 , 则 面临 比较 大 的 开发 和 调试 困难 ,因而 实际 的 透明 代 
理 防火 墙 在 开发 时 ,会 尽量 减少 在 操作 系统 内 核 中 的 开发 工作 量 , 尽 可 能 在 应 用 层 实现 相应 
的 功能 模块 。 

从 功能 模块 结构 上 来 看 ,透明 代理 防火 墙 与 应 用 代理 型 防火 墙 最 主要 的 不 同 之 处 在 于 
接收 IP 数据 包 的 流程 不 同 。 在 一 般 的 应 用 代理 防火 墙 中 ,客户 端 所 发 送 IP 数据 包 的 目标 
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图 4-2 透明 代理 防火 墙 的 工作 方式 


地 址 和 端口 为 应 用 代理 防火 墙 的 IP 地 址 和 端口 ,因此 网 关 的 TCP/IP 协议 会 自动 地 将 IP 
数据 包 组 装 成 应 用 层 数据 交 给 应 用 代理 防火 墙 。 而 在 透明 代理 防火 墙 中 ,来 自 客户 端的 IP 
数据 包 的 目标 地 址 和 端口 为 目标 服务 器 的 IP 地 址 和 端口 ,因此 需要 在 网 关 的 IP 协议 中 添 
加 IP 报 文 截获 模块 。 同 时 需要 在 透明 代理 防火 墙 中 添加 应 用 数据 (或 IP 包 ) 组 装 模 块 ,该 
模块 类 似 于 TCP/IP 协议 的 功能 ,将 IP 数据 包 组 装 成 应 用 层 数据 ,并 将 目标 服务 器 返回 的 
响应 数据 分 解 封装 成 一 个 个 IP 数据 包 , 以 便 将 响应 返回 给 客户 端 。 除 此 之 外 ,透明 代理 防 
火 墙 其 他 功能 模块 与 一 般 应 用 代理 型 防火 墙 的 模块 相 类 似 。 透 明代 理 防 火 墙 的 逻辑 结构 如 
图 4-3 所 示 。 
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4-3 透明 代理 防火 墙 的 逻辑 结构 


在 上 面 的 模块 结构 中 ,TCP/IP 协议 处 理 模块 无 需 另行 开发 ,可 直接 使 用 网 关 操 作 系统 
中 的 协议 处 理 即 可 ,这 里 列 出 该 模块 的 目的 在 于 完整 展现 透明 代理 防火 墙 的 数据 处 理 流程 。 
另外 ,应 用 数据 /IP 包 组 装 模 块 实际 上 是 完成 TCP/IP 协议 的 功能 ,只 不 过 处 理 方式 存在 差 
别 ,将 目标 IP 地 址 和 端口 不 是 透明 代理 防火 墙 IP 地 址 和 端口 的 IP 数据 包 也 重组 后 交 给 透 
明代 理 防火 墙 。 在 5. 5 节 可 看 到 ,通过 一 定 的 技术 处 理 , 也 可 以 用 网 关 操作 系统 的 原 有 协议 
完成 应 用 数据 /IP 数据 包 组 装 模 块 的 功能 。 


4.3.3 透明 代理 防火 墙 工作 原理 


通过 4. 3. 2 节 的 技术 解析 ,透明 代理 防火 墙 的 工作 原理 可 简 述 如 下 : 假设 A 为 内 部 网 
络 的 客户 机 ,B 为 外 部 网 络 的 目标 服务 器 ,C 为 透明 代理 防火 墙 , 当 A 对 B 有 连接 请 求 时 ， 
连接 请 求 被 透明 代理 防火 墙 C 截取 ,然后 C 上 的 访问 分 析 和 控制 模块 对 该 连接 进行 访问 判 
决 ,如 果 该 连接 请 求 是 许可 的 ,C( 实 际 上 是 其 上 的 代理 服务 器 模块 ) 就 冒充 目标 服务 器 B 与 
A 首先 建立 连接 ,然后 C( 实 际 是 其 上 的 代理 客户 端 模块 ) 再 以 客户 端的 身份 与 B 建立 起 网 
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络 连 接 。 如 果 访 问 控制 规则 允许 ,这 两 个 连接 中 任意 连接 上 的 所 有 请 求 和 响应 都 将 会 转发 
到 另外 一 个 网 络 连接 ,由 此 通过 透明 代理 防火 墙 C, 建 立 起 A 和 B 之 间 的 数据 传输 途径 。 

从 内 网 用 户 角 度 来 看 ,A 和 B 是 直接 连接 ,因为 它 发 出 的 IP 数据 包 其 目标 IP 地 址 和 端 
口 是 目 标 服 务 器 的 IP 地 址 和 端口 ,接收 到 的 响应 报 文 其 源 IP 地 址 和 端口 也 是 目标 服务 器 
的 IP 地 址 和 端口 。 在 实际 部 署 透明 代理 防火 墙 时 ,不 需要 客户 端 进行 代理 服务 器 设置 ,其 
至 根本 不 知道 透明 代理 防火 墙 的 存在 ,尽管 内 网 用 户 实际 上 是 通过 透明 代理 防火 墙 与 目标 
服务 器 建立 连接 和 进行 数据 通信 ,但 该 防火 墙 在 内 网 用 户 看 来 是 透明 的 。 

除 需要 从 截获 的 IP 数据 包 中 分 析出 应 用 数据 ,以 及 将 响应 返回 的 应 用 数据 组 装 成 IP 
数据 包 外 ,透明 代理 防火 墙 和 一 般 应 用 代理 型 防火 墙 的 工作 流程 基本 一 致 ,这 里 不 再 袭 述 。 
这 里 需要 强调 的 是 ,透明 代理 防火 墙 的 部 署 位 置 要 求 与 应 用 代理 防火 墙 存在 明显 的 区 别 。 
应 用 代理 防火 墙 并 不 一 定安 置 在 内 网 连接 外 网 的 网 关上 ,由 于 客户 端 需要 设置 应 用 代理 防 
火 墙 的 IP 地 址 和 端口 ,客户 端 所 发 出 IP 数据 包 的 目标 地 址 为 应 用 代理 防火 墙 的 IP 地 址 ， 
这 些 IP 数据 包 自 然 会 被 路 由 到 该 防火 墙 , 并 接受 该 防火 墙 的 连接 控制 管理 。 而 透明 代理 防 
火 墙 需要 部 署 在 内 网 连接 外 网 的 网 关上 ,和 否则 内 网 主机 直接 经 过 已 有 网 关 与 外 网 发 生 网 络 
连接 ,透明 代理 防火 墙 就 不 能 截获 所 通信 的 数据 包 , 更 谈 不 上 对 其 施加 相应 的 控制 。 


4.3.4 透明 代理 防火 墙 的 功能 特征 


通常 在 使 用 一 般 的 应 用 代理 服务 器 时 ,每 个 用 户 需 要 在 客户 端的 网 络 应 用 软件 中 指明 
要 使 用 代理 ,并 自行 设置 代理 参数 (如 在 浏览 器 中 有 专门 的 设置 来 指明 HTTP 或 FTP 等 的 
代理 )。 如 防火 墙 使 用 了 透明 代理 技术 ,代理 服务 对 用 户 也 是 透明 的 ,用 户 意识 不 到 该 防火 
墙 的 存在 , 便 可 完成 内 外 网 络 的 通信 。 当 内 部 用 户 访问 外 部 资源 时 ,不 需要 设置 代理 服务 
器 ,透明 代理 防火 墙 会 建立 透明 的 通道 ,让 内 网 用 户 与 外 网 通信 ,这 样 极 大 地 方便 了 用 户 的 
使 用 。 

同一 般 应 用 代理 防火 墙 一 样 ,透明 代理 防火 墙 可 以 做 到 网 络 地 址 的 转换 ,以 自己 的 身份 
与 外 网 进行 网 络 交互 ,从 而 屏蔽 内 部 网 络 的 细节 ,使 外 网 上 的 恶意 用 户 无 法 探知 内 部 网 络 结 
构 。 透 明代 理 防 火 墙 也 能 够 实现 应 用 会 话 级 的 网 络 访问 控制 ,并 形成 相应 的 日 志 。 这 里 值 
得 注意 的 是 ,透明 代理 防火 墙 由 于 是 从 IP 报 文中 分 析出 应 用 会 话 ,客户 端 意识 不 到 防火 墙 
的 存在 ,也 就 不 能 像 一 般 应 用 代理 防火 墙 那样 提供 用 户 帐户 ` 口 令 等 相关 的 认证 信息 ,因而 
透明 代理 防火 墙 不 能 支持 用 户 安全 认证 。 

另外 ,透明 代理 防火 墙 还 可 以 使 其 服务 端口 无 法 探测 到 ,外 部 非法 用 户 也 就 无 法 对 该 防 
火 墙 进行 攻击 ,从 而 极 大 提高 防火 墙 的 安全 性 与 抗 攻 击 性 。 该 类 防火 墙 中 的 透明 特性 避免 
了 使 用 过 程 中 可 能 出 现 的 配置 错误 ,降低 了 防火 墙 使 用 时 固有 的 安全 风险 和 出 错 概 率 ,方便 
用 户 使 用 。 


4.4 防火 墙 技术 类 型 的 新 发 展 


上 面 提 到 的 包 过 滤 防 火 墙 通常 被 称 为 静态 包 过 滤 防 火 墙 , 它 的 过 滤 规 则 由 管理 员 事 先 
配置 好 , 即 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 相 
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匹配 ,从 而 进行 IP 数据 包 的 过 滤 。 近 来 ,动态 包 过 滤 防 火 墙 也 开始 受到 关注 ,该 类 防火 墙 采 
用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 防 火 墙 所 具有 的 难以 配置 的 问题 。 动 态 
包 过 滤 技 术 是 传统 包 过 滤 技 术 上 的 扩展 ,可 与 其 所 在 网 络 的 网 络 数据 流 相 适应 ,如 基于 
TCP 连接 和 通信 过 程 中 的 状态 变化 及 上 下 文 内 容 , 建 立 临时 会 话 状 态 表 , 对 通过 其 建立 的 
每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需 要 可 动态 地 增加 或 更 新 过 滤 规 则 。 

通常 所 说 的 状态 分 析 包 过 滤 防 火 墙 就 是 一 种 典型 的 动态 包 过 滤 防 火 墙 ,该 类 防火 墙 在 
包 过 滤 技 术 基础 上 ,不 再 只 对 每 个 进来 的 数据 包 简单 地 就 IP 地址、 端口 等 进行 检查 ,而 是 通 
过 基于 上 下 文 的 动态 包 过 滤 模块 进行 检查 ,增强 了 该 防火 墙 的 安全 检查 功能 。 对 新 建 的 应 
用 连接 ,该 防火 墙 先 依据 预先 设 定 的 安全 规则 ,允许 符合 规则 的 连接 通过 ,并 在 内 存 中 记录 
下 该 连接 的 相关 信息 ,并 生成 状态 表 。 对 该 连接 的 后 续 数 据 包 ,只 要 符合 状态 表 , 就 可 以 

混合 型 防火 墙 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 的 防火 墙 类 型 ,可 以 结合 应 用 代理 防 
火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速 等 优点 ,在 不 损失 安全 性 的 基础 之 上 将 应 用 代理 防火 
墙 的 性 能 提高 数 倍 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适应 代理 服务 器 与 动态 包 
过 滤器 。 在 自 适应 代理 服务 器 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 该 类 防火 墙 进 
行 配置 时 ,仅仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 代理 服务 器 的 管理 界面 进行 
设置 ,然后 自 适 应 代理 服务 器 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代 
理 请 求 还 是 从 网 络 层 转发 IP 数据 包 。 如 果 是 后 者 ,将 动态 地 通知 包 过 滤器 增 减 过 滤 规则 ， 
满足 用 户 对 速度 和 安全 性 的 双重 要 求 。 


4.5 本 章 小 结 


从 实现 技术 和 网 络 防火 墙 的 协议 工作 层次 ,目前 主流 的 防火 墙 主要 分 为 包 过 滤 防 火 墙 、 
应 用 代理 防火 墙 , 以 及 透明 代理 防火 墙 。 包 过 滤 防 火 墙 工 作 在 IP 协议 层 ,根据 每 个 IP 数据 
包 的 具体 特征 (主要 是 协议 头 信息 ?进行 报 文 访问 控制 。 应 用 代理 防火 墙 工 作 在 应 用 层 , 根 
据 每 个 应 用 会 话 的 特征 进行 相应 的 网 络 访问 控制 。 透 明代 理 防火 墙 可 以 像 包 过 滤 防 火 墙 一 
样 作为 一 个 网 络 层 设备 接 和 人 到 网 络 中 ,但 能 够 实现 基于 应 用 会 话 特征 的 网 络 访问 检查 和 
控制 。 

对 比 而 言 , 包 过 滤 防 火 墙 进行 网 络 访问 控制 时 其 语义 层次 较 低 ,无 法 实现 基于 应 用 层 特 
征 的 控制 ,但 运行 效率 高 ,而 且 部 署 方便 ,无 需 更 改 内 网 用 户 的 软件 设置 。 而 应 用 代理 防火 
墙 能 够 实现 应 用 层 的 请 义 控制 ,还 能 实现 对 网 络 用 户 的 认证 ,但 应 用 代理 防火 墙 接 人 现 有 网 
络 时 相对 不 便 ,需要 客户 端 进行 代理 服务 器 设置 ,指定 代理 服务 器 ( 即 应 用 代理 防火 墙 ) 的 
IP 地 址 和 服务 端口 。 

透明 代理 防火 墙 在 很 大 程度 上 综合 了 包 过 滤 防 火 墙 和 应 用 代理 防火 墙 的 优点 。 在 控制 
功能 上 对 应 一 个 应 用 代理 防火 墙 , 即 工作 在 应 用 层 , 对 所 代理 的 每 个 应 用 会 话 进行 控制 。 另 
外 它 能 像 包 过 滤 防 火 墙 一 样 ,使 用 该 防火 墙 的 内 网 用 户 感受 不 到 该 防火 墙 的 存在 ,也 无 需 进 
行 代理 服务 器 的 设置 。 实 现 透明 代理 防火 墙 的 关键 在 于 改变 所 在 网 关 的 IP 协议 处 理 流程 ， 
让 IP 层 将 经 过 的 报 文 交 给 上 层 的 透明 代理 防火 墙 处 理 , 而 不 是 直接 进行 路 由 转发 。 
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本 章 重点 对 包 过 滤 防 火 墙 , 应 用 代理 防火 墙 : 以 及 透明 代理 防火 墙 的 工作 原理 和 报 文 处 
理 流程 进行 阐述 ,这 里 将 这 三 种 防火 墙 的 特点 总 结 在 表 4-1 中 。 第 5 章 将 会 进一步 探讨 这 


三 种 防火 墙 的 具体 实现 技术 。 
表 4-1 三 种 防火 墙 的 特点 比较 
包 过 滤 防 火 墙 应 用 代理 防火 墙 透明 代理 防火 墙 
部 署 位 置 网 关 不 限定 网 关 
客户 端 是 否 需 要 设置 否 是 否 
协议 接 入 层次 IP 层 应 用 层 IP 层 
控制 层次 和 对 象 IP 数据 包 应 用 层 会 话 应 用 层 会 话 
控制 规则 组 成 要 素 IP、TCP 等 包头 属性 应 用 会 话 属性 应 用 会 话 属性 
支持 用 户 认证 否 否 是 否 
屏蔽 内 网 结构 需 引 入 NAT 功能 是 是 
总 体 安全 性 一 般 高 高 
运行 效率 高 一 般 一 般 
习 题 

1. 包 过 滤 防 火 墙 和 应 用 代理 防火 墙 对 应 的 协议 接 人 层次 分 别 是 什么 ? 

2. 在 一 个 实际 的 网 络 环境 中 ,如 果 要 开发 和 部 署 透明 代理 防火 墙 ,需要 做 哪些 方面 的 
工作 ? 

3. 简 述 包 过 滤 防 火 墙 的 主要 工作 流程 。 

4. 与 应 用 代理 防火 墙 相 比 , 包 过 滤 防 火 墙 具 有 哪些 优点 和 缺点 ? 

5. 简 述 应 用 代理 防火 墙 的 主要 工作 流程 。 

6. 与 包 过 滤 防 火 墙 相 比 ,应 用 代理 防火 墙 有 哪些 优 缺 点 ? 

7. 简 述 网 络 地 址 转换 (NAT) 的 基本 概念 ,并 指出 哪 种 类 型 的 防火 墙 常常 包含 该 功能 。 

8. 除 对 网 络 会 话 进行 控制 外 ,应 用 代理 防火 墙 对 网 络 安全 的 作用 还 体现 在 哪些 方面 ? 

9. 简 述 透明 代理 防火 墙 的 基本 概念 。 


10. 对 比 包 过 滤 防 火 墙 和 应 用 代理 防火 墙 , 简 述 实现 透明 代理 防火 墙 的 关键 技术 。 
11. 指出 透明 代理 防火 墙 和 应 用 代理 防火 墙 在 网 络 部 署 位 置 上 的 区 别 , 并 解释 其 具体 


原因 。 


12. 对 比 包 过 滤 防 火 墙 和 应 用 代理 防火 墙 , 透 明代 理 防火 墙 克服 了 哪些 不 足 , 以 及 存在 


哪些 不 足 ? 


13. 简 述 状态 分 析 包 过 滤 防 火 墙 的 工作 原理 。 
14. 结合 防火 墙 的 工作 原理 ,说 明 哪些 类 型 的 防火 墙 在 使 用 时 ,客户 端 发 出 的 报 文 其 目 
标 IP 地 址 是 目标 服务 器 的 IP 地 址 ,哪些 类 型 的 防火 墙 在 使 用 时 ,客户 端 发 出 的 报 文 其 目标 
IP 地 址 不 是 目标 服务 器 的 IP 地 址 。 
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从 第 3、 第 4 两 章 可 以 看 出 ,实现 网 络 防火 墙 的 关键 技术 之 一 就 是 将 控制 添加 到 原 有 的 
网 络 协议 处 理 流程 中 ,从 而 实现 对 网 络 访问 的 控制 和 管理 。 对 应 用 代理 防火 墙 而 言 , 可 以 
将 相应 的 控制 直接 添加 到 以 应 用 程序 形式 存在 的 代理 服务 器 中 ,因而 应 用 代理 防火 墙 的 
软件 开发 和 编程 实现 可 以 全 部 在 应 用 层 完成 .不 涉及 对 操作 系统 中 网 络 协议 的 控制 和 
修改 。 

与 应 用 代理 防火 墙 的 开发 不 同 , 包 过 滤 防 火 墙 和 透明 代理 防火 墙 都 涉及 到 对 操作 系统 
中 网 络 协 议 的 控制 或 修改 。 包 过 滤 防 火 墙 需要 在 IP 层 截获 所 经 过 的 IP 数据 包 , 并 且 能 控 
制 IP 协议 层 按照 防火 墙 生成 的 访问 判决 来 处 理 IP 数据 包 , 即 继续 进行 路 由 转发 ,还 是 拒绝 
放行 该 IP 数据 包 。 透 明代 理 防 火 墙 也 要 求 改变 网 关 IP 协议 层 的 报 文 处 理 方式 , 即 对 目标 
地 址 为 非 本 机 IP 地 址 的 报 文 ,不 是 直接 进行 路 由 转发 ,而 是 重组 出 高 层 协议 数据 并 进行 高 
层 协议 的 属性 分 析 ,基于 属性 分 析 再 进行 安全 检查 ,对 通过 检查 的 高 层 协议 数据 还 要 再 组 装 
成 相应 的 IP 数据 包 转 发 出 去 。 

要 控制 IP 协议 层 的 报 文 处 理 方式 ,最 直接 的 思路 是 直接 修改 TCP/IP 网 络 协议 的 实 
现 ,由 于 TCP/IP 协议 通常 实现 在 操作 系统 内 核 中 ,这 意味 着 开发 包 过 滤 防 火 墙 和 透明 代理 
防火 墙 需要 涉及 到 对 操作 系统 内 核 的 修改 。 对 大 部 分 网 络 防火 墙 的 开发 者 而 言 , 在 操作 系 
统 内 核 中 完成 TCP/IP 协议 实现 的 修改 是 有 难度 的 ,因而 以 修改 TCP/IP 协议 实现 的 方式 
来 开发 网 络 防 火 墙 具 有 很 大 的 技术 风险 。 

幸运 的 是 ,Linux 操作 系统 为 便于 在 其 上 开发 网 络 防火 墙 ,在 2.4 以 后 的 内 核 版 本 中 实 
现 了 Netfilter 机 制 ,该 机 制 实现 了 一 个 开放 式 的 IP 数据 包 截 获 和 处 理 接口 ,使 得 网 络 防火 
墙 开发 者 不 用 直接 修改 TCP/IP 协议 实现 也 能 完成 对 IP 数据 包 的 处 理 控制 , 即 截获 IP 数 
据 包 或 者 控制 是 否 放行 IP 数据 包 。 基 于 这 种 机 制 ,信息 安 全 开发 者 不 仅 能 够 在 Linux 系统 
中 实现 应 用 代理 防火 墙 ,也 能 方便 地 实现 包 过 滤 防 火 墙 以 及 透明 代理 防火 墙 。 事实 上 ,由 于 
Linux 系统 的 开源 特性 以 及 其 Netfilter 机 制 , 目 前 很 多 的 网 络 防火 墙 系统 都 在 Linux 操作 
系统 平台 上 进行 研制 和 开发 。 

本 章 重 点 阐述 和 解析 各 种 类 型 网 络 防火 墙 的 实现 技术 ,鉴于 Netfilter 机 制 是 实现 
包 过 滤 防 火 墙 和 透明 代理 防火 墙 的 技术 基础 ,本 章 首先 介绍 Linux 系统 中 的 Netfilter 
机 制 ,随后 介绍 Linux 系统 内 置 的 一 款 包 过 滤 防 火 墙 的 功能 及 使 用 方式 ,最 后 重点 解析 
如 何在 Linux 操作 系统 平台 上 具体 开发 包 过 滤 防 火 墙 ,应 用 代理 防火 墙 ,以 及 透明 代理 
防火 墙 。 

在 Netfilter 机 制 下 , 包 过 滤 防 火 墙 有 两 种 开发 方式 : 一 种 是 在 操作 系统 层 以 内 核 模块 
的 方式 实现 报 文 过 滤 ; 另 一 种 是 借助 Netfilter 的 队列 机 制 将 IP 数据 包 传递 到 应 用 层 ,在 应 
用 层 进行 报 文 过 滤 。 因 此 本 章 对 四 个 具体 的 网 络 防火 墙 进行 了 实现 技术 解析 ,包括 基于 内 
核 模块 的 包 过 滤 防 火 墙 、 基 于 Netfilter 队列 机 制 的 包 过 滤 防 火 墙 ( 或 称 应 用 层 包 过 滤 防 火 
墙 )、 应 用 代理 防火 墙 透 明代 理 防 火 墙 。 
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5.1 防火 墙 实现 基础 : Netfilter 机 制 


5.1.1 Netfilter 概述 


由 于 Linux 的 开源 特性 ,第 三 方 软件 厂商 或 自由 软件 爱好 者 都 可 以 按照 自己 的 需求 修 
改 Linux 内 核 。 从 前 面 两 章 的 阐述 可 看 出 ,要 构建 一 个 Linux 包 过 滤 防 火 墙 ,需要 做 如 下 的 
工作 : 修改 网 关上 Linux 操作 系统 IP 协议 层 的 源 代 码 实 现 ,在 IP 协议 处 理 流程 中 添加 对 
IP 数据 包 的 控制 ,使 得 IP 协议 在 转发 途径 该 网 关 的 IP 数据 包 前 , 先 根 据 一 定 的 安全 规则 
( 即 包 过 滤 规 则 ) 判 断 该 IP 数据 包 是 否 应 该 被 禁止 通过 ( 即 过 滤 掉 该 IP 数据 包 ) ,然后 根据 
判决 结果 ,只 转发 那些 准许 通行 的 IP 数据 包 。 事 实 上 ,2000 年 前 后 在 Linux 平台 流行 的 
IPchains 就 是 这 样 的 一 种 网 络 防 火 墙 。 

IPchains 是 软件 爱好 者 Rusty Russell 等 在 内 核 版 本 2. 2 的 Linux 系统 上 实现 的 。 在 
软件 形式 上 , 它 作 为 该 版 本 Linux 的 内 核 源码 补丁 存在 ,并 且 它 自身 也 是 开源 的 。 为 了 便于 
用 户 使 用 以 及 方便 地 配置 过 滤 规则 ,同时 开发 出 了 与 IPchains 配套 的 包 过 滤 规 则 配置 
工具 

尽管 管理 员 可 以 配置 IPchains 的 包 过 滤 规 则 ,但 IPchains 支持 的 包 过 滤 规则 的 种 类 是 
固定 的 ,只 能 基于 预定 的 报 文 特征 要 素 (如 源 IP 地 址 .目标 IP 地 址 、 源 端口 及 目标 端口 等 ) 
进行 报 文 过 滤 , 如 果 要 实现 基于 其 他 要 素 的 包 过 滤 , 就 需要 重新 修改 IPchains 的 源 代码 。 
另 一 方面 ,基于 内 核 版 本 2. 2 的 IPchains 没有 提供 将 数据 包 传 递 到 用 户 空间 的 框架 ,所 以 
任何 需要 对 数据 包 进 行 处 理 的 代码 都 必须 运行 在 内 核 空间 ,内 核 编程 非常 复杂 ,而 且 只 能 用 
C 语言 实现 ,容易 出 现 错误 对 内 核 稳定 性 造成 威胁 ,因而 IPchains 防火 墙 不 便于 实现 灵活 的 
IP 报 文 过 滤 。 

为 了 实现 功能 灵活 的 Linux 包 过 滤 防 火 墙 ,也 为 了 便于 实现 其 他 形式 的 IP 报 文 处 理 ， 
从 2.4 内 核 版 本 Linux 操作 系统 开始 引入 Netfilter 机 制 。Netfilter 概念 的 提出 及 主要 实现 
是 由 Rusty Russell 完成 ,他 是 IPchains 的 合作 完成 者 及 当前 Linux 内 核 包 过 滤 防 火 墙 的 维 
护 者 。 另 外 Marc Boucher James Morris、Harald Welte 等 都 参与 了 Netfilter 项 目 。 

Netfilter 机 制 的 核心 是 一 个 开放 式 的 IP 数据 包 处 理 框架 ,该 框架 对 外 提供 了 操纵 和 处 
理 IP 数据 包 的 统一 接口 ,编程 人 员 可 以 利用 该 接口 实现 对 IP 数据 包 的 控制 以 及 其 他 新 的 
处 理 方式 。 一 方面 ,Linux 系统 自身 借助 该 机 制 实现 一 些 常见 的 IP 数据 包 处 理 方式 ,包括 
重新 实现 了 其 内 核 包 过 滤 防 火 墙 ( 本 书 称 之 为 Linux 内 置 包 过 滤 防 火 墙 ) 及 其 他 相关 的 处 
理 功能 ,如 网 络 地 址 转换 ( 即 NAT 功能 ) 等 。 另 一 方面 ,第 三 方 的 软件 开发 者 可 以 基于 
Netfilter 提供 的 IP 数据 包 处理 接 口 .开发 相应 的 网 络 工具 ,包括 网 络 防火 墙 、 网 络 审 
计 等 。 

在 系统 运行 过 程 中 ,系统 管理 员 可 以 通过 统一 的 配置 工具 ( 即 IPtables 工具 ) 对 
Netfilter 的 各 种 功能 进行 配置 ,以 及 对 Linux 自 带 的 基于 Netfilter 接口 开发 的 各 种 安全 功 
能 进行 统一 的 配置 。 因 此 有 些 技术 人 员 在 讨论 Netfilter 机 制 的 概念 时 ,将 Linux 自 带 的 基 
于 Netfilter 统一 框架 接口 实现 的 安全 机 制 (如 内 置 包 过 滤 防 火 墙 ) 也 包含 进来 ,本 书 也 不 对 
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二 者 进行 刻意 区 分 。 

最 初 的 Netfilter 机 制 是 作为 Linux 内 核 的 补丁 存在 ,在 使 用 Netfilter 提供 的 接口 进行 
相关 软件 开发 前 ,或 者 使 用 Linux 内 置 包 过 滤 防 火 墙 前 ,需要 预先 以 打 补 丁 的 方式 将 
Netfilter 合并 到 Linux 内 核 中 。 由 于 Netfilter 机 制 逐渐 得 到 广泛 的 认可 和 使 用 , 目前 
Netfilter 的 实现 不 再 作为 内 核 源 码 的 补丁 ,而 是 直接 嵌入 到 官方 发 布 的 Linux 内 核 源 代码 
中 ,其 对 应 的 用 于 配置 控制 规则 的 应 用 层 软件 工具 也 被 集成 到 所 有 主流 的 Linux 发 行 版 本 
(如 Federo Core Linux、Suse Linux 等 ) 中 。 


5.1.2 Netfilter 机 制 的 运行 原理 


Netfilter 机 制 在 其 功能 上 比 以 前 任何 一 版 Linux 内 核 的 防火 墙 子 系统 都 要 完善 和 灵 
活 , 不 仅 能 够 按照 所 配置 的 过 滤 规 则 要 求 进行 相应 的 IP 报 文 过 滤 ,还 提供 了 一 个 开放 式 的 、 
通用 化 的 IP 层 协 议 处 理 框架 。 

Netfilter 的 核心 思想 是 : 在 网 络 IP 协议 层 的 IP 数据 包 处 理 流程 中 ,总 结 出 几 个 关键 
点 ( 即 钩子 点 ) ,这 些 关 键 点 提供 了 多 种 可 能 的 IP 数据 包 处 理 方式 和 开放 接口 ,安全 管理 员 
不 但 可 以 配置 Netfilter 以 不 同 的 方式 处 理 IP 数据 包 , 也 可 利用 Netfilter 所 提供 的 开放 接 
口 在 IP 数据 包 的 协议 处 理 流程 中 实现 新 的 IP 数据 包 处 理 方式 。 

在 Netfilter 机 制 中 ,一 共 定 义 了 五 个 数据 包 处 理 的 钧 子 点 ,每 个 钓 子 点 对 应 了 IP 数据 
包 处 理 流程 中 的 一 个 关键 位 置 。Netfilter 框架 中 的 钩子 点 分 布 如 图 5-1 所 示 。 


IP_LOCAL OUT 


Local_host 


IP_LOCAL IN 


1 
CIP_ PRE ROUTING Routing 人 CIP_FOWARD 


图 5-1 Netfilter 框架 中 的 钩子 点 分 布 


IP_PRE_ROUTING。 在 IP 数 据 包 处 理 流程 中 ,该 位 置 点 对 应 的 处 理 时 刻 为 : IP 数 
据 包 刚刚 从 网 络 接口 接收 到 ,还 没有 进行 路 由 处 理 。 从 图 5-1 可 以 看 出 ,从 本 机 发 
出 的 IP 数据 包 ( 其 源 地 址 为 本 机 IP 地 址 ) 不 经 过 该 处 理 点 ,需要 特别 注意 。 
IP_FORWARD。 在 IP 数据 包 处 理 流程 中 ,该 位 置 点 对 应 的 处 理 时 刻 为 : IP 数据 包 
已 经 进行 了 路 由 处 理 , 该 数据 包 需 要 转发 到 下 一 跳 ,但 还 没有 进行 转发 。 从 图 5-1 
可 以 看 出 ,需要 发 送 到 本 机 的 IP 数据 包 不 会 经 过 该 钩子 点 ,另外 本 机 发 出 的 IP 数 
据 包 也 不 会 经 过 该 处 理 点 。 

IP_LOCAL _IN。 在 IP 数据 包 处 理 流程 中 ,该 位 置 点 对 应 的 处 理 时 刻 为 : 从 网 络 接 
收 的 IP 数据 包 需 要 发 往 至 本 机 的 上 层 协 议 , 将 该 IP 数据 包 传 递 给 本 机 的 传输 层 协 
议 处 理 前 。 从 图 5-1 看 出 ,需要 转发 到 网 络 下 一 跳 的 IP 数据 包 不 会 经 过 该 处 理 点 。 
IP_LOCAL_OUT。 在 IP 数据 包 处 理 流程 中 ,该 位 置 点 对 应 的 处 理 对 象 为 : 刚刚 从 
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本 机 的 上 层 协 议 发 出 ,还 未 进行 路 由 处 理 的 IP 数据 包 。 显 然 ,从 网 络 上 接收 到 的 IP 
数据 包 不 会 经 过 该 处 理 点 。 

。 JIP_POST_ROUTING。 在 JP 数 据 包 处 理 流 程 中 ,该 位 置 点 对 应 的 处 理 时 刻 为 : IP 
数据 包 将 要 离开 本 机 发 往 网 络 下 一 跳 之 前 。 无 论 是 从 网 络 上 接收 到 的 途经 本 主机 
的 IP 数据 包 , 还 是 本 机 对 外 发 送出 的 IP 数据 包 , 在 发 往 网 络 下 一 跳 之 前 都 经 过 该 
处 理 点 。 

通过 Netfilter 所 提供 的 配置 工具 ,在 相应 的 关键 点 设置 不 同 的 IP 数据 包 处 理 方式 ,就 

可 以 控制 IP 协议 中 的 IP 报 文 处 理 流程 。 


5.1.3 Netfilter 功能 种 类 


从 上 面 的 讨论 中 可 看 出 ,Netfilter 通过 在 关键 点 的 不 同 操作 来 实现 对 IP 报 文 处 理 流 程 
的 各 种 控制 。Netfilter 在 这 些 关 键 点 所 支持 的 不 同 报 文 处 理 方式 具体 可 归 为 两 种 : 开放 式 
处 理 方式 和 内 榜 处 理 方式 。 

在 内 内 处 理 方式 中 ,安全 管理 员 不 用 自己 编写 程序 ,通过 配置 Netfilter 就 可 以 让 相应 
的 报 文 处 理 方式 发 挥 作用 ,经 常用 到 的 内 嵌 处 理 方 式 具体 包 括 如 下 两 种 方式 。 

。 报 文 过 滤 方 式 : Netfilter 内 嵌 有 包 过 滤 子 系统 ,该 子 系统 在 IP_LOCAL_IN 、IP_ 
FORWARD 和 IP_LOCAL_OUT 三 个 钩子 点 分 别 添加 了 相应 的 数据 包 过 滤 函 数 ， 
数据 包 经 过 这 些 位 置 时 , 包 过 滤 子 系统 能 够 对 这 些 数 据 包 进行 过 滤 。 这 三 个 钩子 点 
上 过 滤 规 则 链 的 名 称 分 别 为 INPUT、FORWARD 和 OUTPUT ,它们 共同 组 成 了 一 
张 过 滤 表 ,每 条 链 可 以 包含 各 种 规则 ,每 一 条 规则 都 包含 零 个 或 多 个 匹配 项 以 及 一 
个 动作 , 当 数 据 包 满足 所 有 的 匹配 时 , 则 过 滤 函 数 将 执行 设 定 的 动作 ,以 便 对 数据 包 
进行 过 滤 。 网 络 管理 员 可 以 通过 IPtables 工具 在 上 述 表 所 包含 的 各 条 规则 链 中 添 
加 规则 ,或 者 修改 .删除 规则 ,从 而 可 以 根据 需要 构建 包 过 滤 规 则 。 不 难看 出 ,这 三 
个 钩子 点 正好 能 够 覆盖 到 所 有 经 过 本 机 IP 层 的 数据 报 文 ,任何 一 个 IP 数据 包 都 会 
经 过 这 三 个 钧 子 中 的 某 一 个 钧 子 点 ,因而 可 以 对 所 有 的 IP 数据 包 进 行 过 滤 和 控制 。 
如 对 本 机 发 出 和 到 达 本 机 的 IP 数据 包 , 可 分 别 通过 配置 OUTPUT 链 和 INPUT 链 
上 的 规则 进行 控制 ,而 对 途经 本 机 的 IP 数据 包 , 可 以 通过 配置 FORWARD 链 上 的 
规则 进行 控制 。 

报 文 重 定向 方式 : 即 NAT 功能 ,在 IP_PRE_ROUTING IP_POST_ROUTING 及 
IP_LOCAL_OUT 这 三 个 钧 子 点 分 别 添加 了 相应 的 地 址 转换 函数 ,依据 所 设置 的 
NAT 表 , 对 流 经 这 三 个 钧 子 点 的 数据 包 进 行 源 地 址 或 目标 地 址 的 转换 。 一 般 而 言 
在 IP_PRE_ROUTING 处 对 需要 转发 数据 包 的 目标 地 址 进行 地 址 转换 以 实现 目标 
地 址 重 定向 ; 在 IP_POST_ROUTING 处 对 需要 转发 数据 包 的 源 地 址 进行 地 址 转换 
以 实现 源 地 址 欺骗 类 等 功能 ; 对 于 本 机 发 出 数据 包 的 目标 地 址 转换 则 在 IP_ 
LOCAL_OUT 处 实现 。Netfilter 机 制 中 的 NAT 功能 分 为 源 地 址 重 定向 (SNAT) 
和 目标 地 址 重 定向 (DNAT) 这 两 种 不 同类 型 ,前 者 对 IP 数据 包 中 的 源 IP 地 址 和 端 
口 进 行 转换 ,后 者 对 IP 数据 包 中 的 目标 IP 地 址 和 端口 进行 转换 。IP 数据 包 的 目标 
地 址 是 IP 数据 包 路 由 计算 的 依据 ,通常 情况 下 需要 在 IP 数据 包 路 由 前 进行 
DNAT, 即 在 IP_PRE_ROUTING IP_LOCAL_OUT 钧 子 点 处 进行 DNAT 较 有 意 
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义 。SNAT 常用 于 IP 地 址 欺骗 等 相关 网 络 应 用 ,只 要 在 IP 数据 包 离开 本 机 前 进行 

源 地 址 转换 即 可 ,因此 SNAT 通常 在 IP_POST_ROUTING 钩子 点 处 进行 。 从 中 可 

看 出 ,因数 据 包 的 流 经 途径 不 同 ,以 及 需要 进行 的 处 理 不 同 ,一些 数据 包 处 理 方式 只 

能 在 一 些 特定 的 钧 子 点 上 设置 才 有 效 , 并 不 能 在 任意 钓 子 点 上 进行 随意 设置 。 

开放 处 理 方式 意味 着 可 在 Netfilter 机 制 基 础 上 自己 开发 新 的 报 文 处 理 , Netfilter 将 IP 
数据 包 的 处 理 权 交 给 新 开发 的 报 文 处 理 。 开 放 人 处 理 方式 包括 如 下 两 种 具体 方式 。 
。 钩子 函数 方式 。Netfilter 机 制 为 每 种 网 络 协议 (IPv4、IPv6 等 ) 定 义 一 套 钩子 (如 

图 5-1 中 ,为 IPv4 定义 了 五 类 钩子 ) ,在 数据 包 流 过 协议 的 某 钧 子 点 时 ,注册 在 该 钧 
子 点 上 的 钧 子 函 数 将 会 被 调用 。 内 核 模 块 可 以 对 一 个 或 多 个 钧 子 点 进行 相应 的 函 
数 注册 ,将 自行 实现 的 IP 数据 包 处 理 函 数 挂 接 在 相应 的 钩子 上 。 这 样 当 某 个 数据 
包 经 过 Netfilter 框架 的 某 钩子 点 时 ,Linux 内 核能 检测 到 是 否 有 内 核 模块 对 该 钩子 
点 进行 了 钩子 函数 注册 。 若 有 注册 , 则 调用 所 注册 的 钩子 函数 ,因而 这 些 内 核 模块 
就 有 机 会 检查 (可 能 还 会 修改 ) 该 数据 包 , 作 出 处 理 该 数据 包 的 具体 判决 ,同时 将 判 
决 结果 以 函数 返回 值 的 方式 告诉 Netfilter 框架 。 在 调用 完 钩子 函数 后 ,Netfilter 会 
根据 钧 子 函数 的 返回 结果 来 处 理 相 应 的 IP 数据 包 , 即 丢弃 该 IP 数据 包 , 或 继续 按 
常规 处 理 该 IP 数据 包 等 。 在 本 书 开发 实践 部 分 将 会 看 到 ,Netfilter 可 以 支持 多 个 
内 核 模 块 在 同一 个 钧 子 点 分 别 注册 它们 的 钩子 函 数 , Netfilter 会 依据 钩子 函数 注 
册 时 设 定 的 优先 级 , 按 次 序 分 别 调用 这 些 钓 子 函数 。 换 言 之 ,基于 钧 子 函数 方式 
开发 新 的 IP 数据 包 处 理 功能 时 ,能 够 有 效 避 免 与 其 他 已 经 存在 的 处 理 方式 产生 
冲突 。 
队列 输出 方式 。 利 用 注册 钧 子 函 数 的 方式 可 以 让 Netfilter 按 安 全 管理 员 的 意愿 处 
理 IP 数 据 包 。 但 这 种 方式 存在 一 个 明显 的 不 足 , 即 这 些 钧 子 函数 实现 在 Linux 内 
核 中 ,需要 进行 Linux 内 核 相关 的 编程 ,而 Linux 内 核 编 程 比较 复杂 ,对 于 安全 管理 
员 来 说 ,进行 Linux 内 核 编 程 具有 很 大 的 挑战 性 。 因 此 Netfilter 提供 队列 输出 功 
能 ,在 这 些 关 键 点 将 所 经 过 的 IP 数据 包 通 过 一 定 的 方式 直接 交 给 应 用 层 ,程序 员 可 
以 在 应 用 层 开发 应 用 软件 ,对 这 些 数据 包 进 行 完 全 自主 的 处 理 , 如 丢弃 、 修 改 等 。 在 
进行 特定 处 理 后 ,还 可 将 这 些 数 据 包 再 通过 Netfilter 队列 输出 功能 ,发 送 给 IP 协议 
层 进行 后 继 的 协议 处 理 。 


5.2 Linux 内 置 包 过 滤 防 火 墙 


5.2.1 Linux 内 置 包 过 滤 防 火 墙 概述 


Linux 系统 中 的 Netfilter 机 制 提供 了 基于 过 滤 规 则 的 IP 数据 包 过 滤 功 能 。 使 用 与 
Netfilter 机 制 配套 的 过 滤 规 则 配置 工具 IPtables, 网 络 管理 员 就 可 以 设置 出 相应 的 报 文 过 
滤 规 则 ,有 了 这 些 报 文 过 滤 规 则 ,就 能 实现 内 外 网 间 的 报 文 过 滤 功 能 。 因 此 要 在 实际 网 络 中 
实现 一 个 包 过 滤 防 火 墙 ,其 直观 想法 是 利用 Netfilter 的 包 过 滤 功 能 来 完成 ,通过 这 种 方式 
所 实现 的 包 过 滤 防 火 墙 ,其 运行 原理 如 图 5-2 所 示 。 
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安全 管理 员 


IPtables 应 用 层 


中 数据 也 | 
一 一 一 [ 包 守 滤 借 块 


1 ”Netfilter 机制 


i en 


网 类 (Linux 系统 ) 
图 5-2 Linux 内 置 包 过 滤 防 火 墙 的 运行 原理 


5.2.2 Linux 内 置 包 过 滤 防火 墙 的 构建 


为 了 保证 内 外 网 间 的 IP 数据 包 都 经 过 包 过 滤 防 火 墙 且 受 该 防火 墙 过 滤 规 则 的 控制 , 需 
要 将 包 过 滤 防 火 墙 设置 在 内 网 连接 外 网 (Internet 等 ) 的 网 关 处 。 因 此 在 基于 Netfilter 机 制 
实现 内 置 包 过 滤 防 火 墙 之 前 ,需要 将 一 台 安装 有 Linux 系统 的 主机 配置 成 网 关 , 具 体 的 安装 
和 网 络 接 入 、 配 置 过 程 如 下 : 

(1) 安装 一 台 运 行 Linux 操作 系统 的 主机 ,该 主机 用 作 网 关连 接 内 网 和 外 网 ,所 以 该 主 
机 需要 有 两 块 网 卡 。 鉴 于 篇 幅 所 限 , 本 书 省 略 了 Linux 的 安装 方法 和 安装 过 程 。 

(2) 将 该 主机 以 网 关 的 形式 接 入 到 网 络 中 ,一 个 网 口 连接 内 网 , 另 一 个 网 口 连接 外 网 。 
同时 需要 进行 相应 的 软件 设置 ,首先 保证 该 Linux 系统 能 够 以 网 关 形 式 正常 运行 ,具体 要 配 
置 的 项 目 包 括 内 网 口 的 IP 地 址 、 外 网 口 的 IP 地 址 、 路 由 表 设 置 等 。 另 外 还 需要 内 部 网 络 的 
主机 将 网 关 设置 为 该 Linux 系统 主机 的 内 网 口 IP 地 址 。 图 5-3 给 出 一 个 具体 的 网 络 配置 
实例 。 


客户 机 局 域 网 网 关 
(Windows 系统 )| (Linux 系统 》 


(TP:192.168.48.8) (1P:192 区 101) 外 网 
A To TP:192.168.47.101 
(Gateway:192.168.48.101) ( ) 


图 5-3 包 过 滤 防 火 墙 应 用 时 的 网 络 地 址 设置 实例 


(3) 打开 Linux 中 的 IP 报 文 转发 功能 选项 ( 即 IP forward 选项 ) ,这 样 Linux 主机 才能 
用 作 网 关 。 该 选项 保存 在 一 个 proc 文件 ( 即 /proc/sys/net/ipv4/ip_forward) 中 ,该 文件 的 
内 容 如 果 为 0, 表 示 关 闭 IP 报 文 转发 功能 ,为 1 表示 打开 报 文 转发 功能 。 在 Linux 命令 行 
窗口 下 ,运行 如 下 命令 即 可 打开 IP 报 文 转发 功能 。 

echo 1 > /proc/sys/net/ipv4/ip_forward 

(4) 为 了 保证 Linux 内 置 包 过 滤 防 火 墙 运行 和 测试 的 顺利 进行 ,网 络 环境 设置 好 以 后 ， 
需要 进行 网 络 联通 性 测试 , 即 测试 用 作 网 关 的 Linux 系统 主机 是 否 能 够 正确 工作 , 即 实现 内 
外 网 间 的 IP 数据 包 转 发 。 最 常用 的 方法 是 在 内 网 主机 中 用 ping 命令 测试 外 网 主机 ,以 判 
断 网 关 设置 是 否 正确 。 
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5.2.3 过 滤 规 则 配置 及 测试 


Netfilter 机 制 主要 依据 规则 链 来 对 IP 数据 包 进 行 访问 控制 处 理 , Netfilter 中 包 过 滤 功 
能 默认 了 INPUT 、 FORWARD.OUTPUT 这 三 个 常用 的 规则 链 ,INPUT 链 上 的 规则 作用 
于 刚 从 网 络 上 接收 到 的 数据 包 ,FORWARD 链 上 的 规则 作用 于 转发 的 数据 包 ,OUTPUT 
链 上 的 规则 作用 于 本 机 发 出 的 数据 包 。 管 理 员 可 以 通过 IPtables 命令 来 新 增加 和 删除 规则 
链 , 依 据 需要 将 新 添加 的 规则 分 组 在 对 应 的 规则 链 中 ,或 从 对 应 的 规则 链 中 删除 相应 的 规 
则 ,从 而 实现 对 IP 数据 包 的 处 理 和 控制 。 
对 大 部 分 应 用 场合 而 言 ,管理 员 只 要 设置 这 三 个 默认 的 规则 链 就 能 实现 所 需要 的 包 过 
滤 功 能 ,因此 这 里 重点 讨论 如 何 通过 IPtables 命令 来 配置 这 三 个 默认 规则 链 , 即 在 这 三 个 规 
则 链 中 添加 、 删 除 和 修改 规则 。 
IPtables 通过 命令 参数 的 形式 指明 所 要 配置 的 规则 ,一 条 IPtables 命令 的 参数 大 致 包 
含 如 下 几 个 部 分 。 
。 指定 命令 类 型 和 所 操作 的 链 对 象 。 
格式 为 : -A/D/C INPUT/FORWARD/OUTPUT 
如 : -A INPUT, 表 示 在 INPUT 链 中 添加 一 条 规则 。 
-D FORWARD, 表 示 在 FORWARD 链 中 删除 一 条 规则 。 
-C OUTPUT ,表示 在 OUTPUT 链 中 修改 一 条 规则 。 
。 指明 规则 所 作用 的 协议 类 型 。 
格式 为 : -p protocol_type 
如 : -p tcp, 表 示 针 对 TCP 协议 。 
-p !udp, 表 示 除 UDP 协议 外 的 所 有 协议 。 
。 指定 规则 所 作用 的 主机 地 址 。 
格式 为 : -s/d IP-addr 
如 : -s 192.168. 47.1, 表 示 源 地 址 为 192. 168. 47. 1 的 IP 数据 包 。 
-d !192. 168. 47.1, 表 示 目 的 地 址 不 是 192. 168. 47. 1 的 IP 数据 包 。 
。 指定 规则 所 作用 的 网 络 。 
格式 为 : -s/d IP/mask 
如 : -s 192. 168. 47. 0/24, 表示 源 地 址 在 网 络 192. 168. 47. 0/24 中 , 即 IP 地 址 如 
192. 168. 47. x* 的 IP 数据 包 。 
-d !192. 168. 47. 0/24 ,表示 目 标 地 址 不 在 网 络 192. 168. 47. 0/24 中 , 即 IP 地 址 在 
192. 168. 47. * 之 外 的 IP 数据 包 。 
。 指定 规则 所 作用 的 具体 网 络 接口 。 
格式 为 : -i/o network-interface 
如 : -i eth0 ,表示 从 网 络 接口 eth0 接收 的 数据 包 。 
-o eth0 ,表示 从 网 络 接口 eth0 发 送 的 数据 包 。 
。 指定 规则 所 作用 的 端口 。 
格式 为 : -sport/dport port 
如 : -sport 500, 表 示 源 端口 为 500 的 IP 数据 包 。 
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-dport 122 ,表示 目标 端口 不 为 22 的 IP 数据 包 。 
。 规则 约定 的 动作 。 
格式 为 : -} ACCEPT/DROP/REDIRECT/QUEUE 
如 : -j ACCEPT ,表示 放行 IP 数据 包 。 
- DROP, 表 示 阻 断 IP 数据 包 。 
-j REDIRECT ,表示 重 定向 IP 数据 包 。 
-QUEUE, 表 示 将 IP 数据 包 通 过 队列 机 制 发 送 至 应 用 层 。 
上 面 给 出 的 是 常用 的 命令 参数 ,详细 的 命令 参数 可 以 参看 IPtables 的 使 用 指南 ,或 者 在 
Linux 操作 系统 命令 行 下 ,输入 命令 man IPtables 来 查看 Linux 系统 提供 的 帮助 。 
通过 组 合 上 面 不 同类 型 的 参数 ,就 可 以 配置 出 所 需要 的 包 过 滤 规 则 ,如 : 
。 IPtables -A FORWARD -p TCP -dport 22 -j REJECT ”# 过 滤 掉 目标 端口 为 22 的 
TCP 数据 包 。 
。 IPtables -A FORWARD -s !192. 168. 47. 1 -j REJECT 井 过 滤 掉 源 地 址 不 为 
192.168. 47.1 的 IP 数 据 包 。 
除了 配置 上 述 形式 的 过 滤 规 则 外 ,IPtables 还 可 以 配置 默认 规则 ,在 没有 找到 所 对 应 的 
包 过 滤 规 则 时 ,启用 默认 规则 对 数据 包 进 行 过 滤 , 如 : 
。 IPtables -P FORWARD DROP # 上 默认 拒绝 所 有 转发 的 IP 数据 包 , 即 除非 找到 允 
许 规则 ,否则 拒绝 IP 数据 包 。 
。 IPtables -P FORWARD ACCEPT # 上 默认 放行 所 有 转发 的 IP 数据 包 , 即 除非 找到 
拒绝 规则 ,否则 放行 IP 数据 包 。 
从 上 面 的 配置 过 程 可 知 ,要 获得 一 个 包 过 滤 防 火 墙 并 不 需要 进行 编程 和 软件 开发 ,只 需 
要 利用 Linux 操作 系统 提供 的 IPtables 配置 工具 等 ,依据 实际 的 访问 控制 需求 ,设置 对 应 的 
包 过 滤 规 则 即 可 。 


5.2.4 Linux 内 置 包 过 滤 防火 墙 的 管理 


使 用 IPtables 可 以 有 效 配置 Linux 内 置 包 过 滤 防 火 墙 ,启用 相应 的 包 过 滤 规 则 或 者 取 
消 相 应 的 包 过 滤 规 则 。 另 外 ,为 了 便于 系统 管理 员 配置 Linux 的 防火 墙 功能 ,很 多 Linux 操 
作 系 统 提供 了 图 形 化 防火 墙 配置 工具 。 这 些 图 形 化 配置 工具 使 用 比较 简单 ,但 所 能 实现 的 
配置 项 目 比 IPtables 少 很 多 。 

“开发 实践 篇 ?将 会 开发 其 他 技术 类 型 的 防火 墙 原 型 系统 ,在 Linux 操作 系统 中 测试 这 
些 防火 墙 原型 系统 时 ,Linux 内 置 包 过 滤 功 能 的 运行 可 能 会 产生 干扰 。 如 Linux 内 置 包 过 
滤 防 火 墙 在 报 文 到 达 本 书 开发 的 防火 墙 原型 系统 前 阻止 报 文 , 防 火 墙 原 型 系统 就 无 法 正常 
运行 。 因 而 这 里 先行 简单 介绍 内 置 包 过 滤 防 火 墙 的 端口 开放 方法 和 内 置 包 过 滤 防 火 墙 的 关 
闭 方法 。 

要 配置 Linux 内 置 防火 墙 以 开放 相应 的 服务 端口 ,其 具体 步骤 (以 Fedora Core 6 为 例 ) 
是 : 选择 菜单 中 的 “系统 ”1“ 管 理 ”1“ 安 全 级 别 和 防火 墙 ”命令 ,启动 安全 级 别 设置 程序 ,在 安 
全 级 别 设置 窗口 中 , 单 击 “ 防 火 墙 选项 ”Tab 页 ,在 “其 他 端口 ”设置 部 分 , 单 击 “ 添 加 ”按钮 ,在 
新 弹出 的 对 话 框 中 输入 要 开放 的 服务 端口 (如 TCP 协议 的 8888 端口 ) ,成 功 设置 后 的 防火 
墙 配置 如 图 5-4 所 示 。 
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图 5-4 Linux 内 置 包 过 滤 防 火 墙 的 配置 界面 


如 果 要 关闭 Linux 内 置 包 过 滤 防 火 墙 ,其 具体 步骤 为 : 从 菜单 中 选择 "系统 ”| “管理 ”| 
“安全 级 别 和 防火 墙 ?命令 ,启动 安全 级 别 设置 程序 ,在 安全 级 别 设置 窗口 中 , 单 击 “ 防 火 墙 选 
项 ”Tab 页 ,将 Linux 内 置 防火 墙 的 配置 由 * 启 用 ?直接 改 为 “禁止 即 可 。 


s.3 ”基于 内 核 模 块 的 包 过 滤 防 火 墙 实现 解析 


从 本 章 5.1、5.2 两 节 可 知 ,Linux 内 置 包 过 滤 防 火 墙 实现 功能 强大 的 报 文 过 滤 功 能 ,过 
滤 规 则 的 要 素 涉 及 到 协议 类 型 源 IP 地 址 、 目 标 IP 地 址 、 源 端口 .目标 端口 ,甚至 访问 时 间 
等 。 但 Linux 内 置 的 包 过 滤 防 火 墙 也 存在 明显 的 功能 限制 ,Netfilter 机 制 中 内 嵌 的 包 过 滤 
功能 相对 固定 ,只 能 基于 各 种 预定 的 IP 数据 包 属性 进行 过 滤 , 所 能 支持 包 过 滤 规 则 的 类 型 
固定 ,只 能 基于 预定 的 数据 包 属 性 配置 出 相应 的 过 滤 规则 。 另 外 一 方面 ,Netfilter 内 嵌 的 包 
过 滤 功 能 不 支持 组 合 的 或 复杂 的 过 滤 规 则 。 

由 上 可 看 出 ,要 在 局 域 网 出 口 处 实现 复杂 的 过 滤 功 能 ,或 者 开发 能 够 支持 复杂 过 滤 
规则 的 包 过 滤 防 火 墙 , 仅 利用 Netfilter 内 嵌 的 包 过 滤 功 能 是 行 不 通 的 。 因 此 可 利用 现 有 
的 Netfilter 框架 ,设计 和 开发 可 支持 复杂 过 滤 规 则 的 包 过 滤 防 火 墙 系统 。 对 比 防火 墙 的 
基本 实现 要 素 ,Netfilter 框架 已 经 实现 了 报 文 的 截获 和 依据 判决 结果 的 报 文 控制 与 过 滤 。 
因此 要 实现 支持 新 类 型 控制 规则 的 防火 墙 ,还 需要 实现 能 够 解释 新 规则 的 访问 判决 
模块 。 

从 5.1 节 可 看 出 ,Netfilter 框架 通过 在 IP 数据 包 处 理 流程 中 的 关键 点 设置 钩子 的 方式 
提供 实现 新 判决 模块 的 接口 , 即 以 Linux 内 核 模块 的 形式 实现 解释 和 执行 访问 控制 规则 的 
判决 函数 ,然后 将 这 些 判 决 函 数 注册 到 相应 钩子 点 ,Netfilter 框架 在 获得 IP 数据 包 后 会 自 
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动 调用 所 注册 的 钩子 函 数 ( 即 判 决 函数 ) ,然后 根据 钩子 函数 的 返回 结果 ( 即 判决 结果 ) ,决定 
如 何 处 理 相 应 的 IP 数据 包 , 即 继续 协议 的 其 他 处 理 或 丢弃 该 数据 包 等 。 

作为 一 个 实用 的 防火 墙 ,直接 将 访问 控制 逻辑 固化 在 访问 判决 函数 中 是 不 可 行 的 ,因此 
还 需要 在 应 用 层 实 现 相 应 的 包 过 滤 规 则 配置 程序 。 由 于 新 实现 的 访问 判决 模块 工作 在 
Linux 的 内 核 层 , 包 过 滤 规 则 配置 程序 需要 与 访问 判决 模块 交互 所 配置 的 包 过 滤 规 则 。 可 
选用 的 交互 方式 有 Netlink 方式 ,注册 设备 文件 方式 等 。 这 些 内 核 与 应 用 程序 间 的 信息 交 
互 方式 具体 在 第 1 章 ( 见 1.6 节 ) 中 已 详细 介绍 。 

新 实现 的 包 过 滤 防 火 墙 的 结构 和 运行 原理 如 图 5-5 所 示 。 从 该 图 可 以 看 出 ,由 于 解释 
和 执行 访问 控制 规则 的 判决 函数 以 及 规则 配置 程序 全 部 是 自行 设计 ,因此 该 包 过 滤 防 火 墙 
不 再 受到 原 有 Netfilter 框架 所 能 支持 访问 控制 规则 的 约束 ,可 以 支持 所 希望 的 任意 类 型 的 
报 文 过 滤 规 则 。 
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图 5-5 基于 内 核 模块 的 包 过 滤 防 火 墙 的 逻辑 结构 和 运行 原理 
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5.4 基于 Netfilter 队列 机 制 的 防火 墙 实现 解析 


通过 注册 钧 子 函 数 的 方式 实现 新 的 包 过 滤 防 火 墙 ,这 种 内 核 层 面 的 实现 方式 能 够 获得 
较 好 的 运行 效率 。 但 从 实现 的 难度 来 看 ,这 种 方式 的 不 足 之 处 在 于 需要 开发 新 的 内 核 模块 ， 
即 要 在 Linux 的 内 核 层 进行 编程 。 由 于 内 核 模块 和 应 用 程序 在 执行 方式 上 存在 本 质 区 别 ， 
因而 Linux 内 核 模块 和 应 用 程序 的 开发 方法 存在 较 大 的 差别 ,如 不 能 像 开 发 应 用 程序 一 样 
调用 C 语言 的 函数 库 ,也 难以 进行 单 步 跟 踪 调 试 等 。 此 外 ,进行 Linux 内 核 模块 的 开发 还 
需要 对 Linux 的 内 核 运行 机 制 有 比较 深入 的 了 解 。 

对 绝 大 部 分 习惯 了 应 用 程序 开发 的 程序 员 而 言 ,Linux 内 核 模块 开发 具有 很 大 的 难度 。 
幸运 的 是 ,Netfilter 框架 提供 了 队列 功能 ( 即 IPqueue 功能 ) ,可 以 将 Netfilter 所 截获 的 IP 
数据 包 不 经 过 传输 层 (TCP、UDP 等 ) ,而 通过 Netfilter 通道 ( 即 IPqueue) 以 队列 方式 直接 
传递 到 应 用 层 。 应 用 程序 可 以 在 应 用 层 从 队列 中 接收 IP 数据 包 , 对 这 些 IP 数据 包 进 行 分 
析 和 检查 。 对 通过 检查 的 IP 数据 包 , 应 用 程序 可 以 再 用 反 向 的 队列 将 这 些 IP 数据 包 直 接 
传递 回 Netfilter 框架 ,Netfilter 继续 对 这 些 IP 数据 包 进 行路 由 和 转发 处 理 ; 对 不 能 通过 检 
查 的 IP 数据 包 , 应 用 程序 就 直接 丢弃 ,从 而 起 到 阻 断 该 IP 数据 包 的 作用 。 
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因此 ,借助 于 Netfilter 机 制 支持 的 队列 功能 ,可 以 在 应 用 层 实现 对 IP 数据 包 的 过 滤 和 
控制 ,基于 这 种 方式 实现 的 包 过 滤 防 火 墙 就 是 常 说 的 应 用 层 包 过 滤 防 火 墙 。 该 类 防火 墙 在 
运行 之 前 ,需要 管理 员 使 用 IPtables 命令 对 Netfilter 机 制 进行 配置 ,让 Netfilter 将 IP 数据 
包 以 队列 方式 发 送 到 应 用 层 ,具体 的 配置 方式 将 在 本 书 的 第 二 部 分 “开发 实践 篇 "结合 具体 
的 开发 实践 ( 见 第 11 章 ) 详 细 曾 述 。 

基于 Netfilter 队列 机 制 实现 的 应 用 层 包 过 滤 防 火 墙 的 结构 和 运行 原理 如 图 5-6 所 示 。 
安全 管理 员 
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图 5-6 基于 队列 机 制 的 包 过 滤 防 火 墙 的 结构 和 运行 原理 
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对 比 图 5-5 和 图 5-6 可 发 现 , 在 应 用 层 实现 访问 判决 函数 的 应 用 层 包 过 滤 防 火 墙 能 够 
像 内 核 包 过 滤 防 火 墙 一 样 有 效 地 实施 基于 过 滤 规 则 的 报 文 过 滤 。 但 基于 Netfilter 的 队列 
机 制 实现 的 包 过 滤 防 火 墙 ,其 中 所 有 新 开发 的 模块 ,包括 访问 判决 函数 .IP 数据 包 访 问 控 
制 IP 数据 包 获 取 及 IP 数据 包 发 送 模块 可 以 集成 到 一 个 应 用 程序 中 ,所 有 功能 全 在 应 用 层 
完成 ,无 需 进行 Linux 内 核 编程 。 只 要 对 Netfilter 进行 合适 的 配置 ,让 其 将 截获 的 IP 数据 
包 通 过 IPqueue 通道 转发 到 应 用 层 , 并 基于 IPqueue 通道 接收 应 用 层 转 发 回 的 IP 数据 包 ， 
该 防火 墙 就 能 在 应 用 层 正常 运行 。 


5.5 应 用 代理 防火 墙 实现 解析 


从 前 面 的 章节 中 可 知 ,应 用 代理 防火 墙 不 涉及 到 内 核 层 的 编程 ,IP 数据 包 在 操作 系统 
内 核 层 所 需要 的 处 理 可 直接 由 操作 系统 中 的 TCPVIP 协议 来 完成 ,所 有 的 应 用 连接 处 理 以 
及 相应 的 协议 分 析 和 控制 都 可 以 在 应 用 层 实 现 。 

应 用 代理 防火 墙 的 具体 结构 和 运行 原理 如 图 5-7 所 示 。 

与 上 述 两 种 包 过 滤 防 火 墙 的 实现 对 比 ,应 用 代理 防火 墙 的 主要 开发 工作 集中 在 对 应 用 
层 协议 的 分 析 上 ,需要 将 从 TCP/IP 协议 中 获取 的 数据 组 装 成 应 用 层 会 话 ,并 且 分 析出 该 会 
话 的 相关 属性 ,从 而 基于 分 析出 的 会 话 属性 进行 相应 的 控制 。 

从 编程 和 开发 技术 来 看 ,实现 一 个 应 用 代理 防火 墙 主 要 涉及 到 一 般 的 SOCKET 编程 ， 
不 涉及 到 Linux 内 核 模 块 的 编程 ,也 不 依赖 于 Linux 的 Netfilter 机 制 。 应 用 代理 防火 墙 的 
具体 实现 方式 将 在 本 书 第 二 部 分 “开发 实践 篇 ”( 见 第 12 章 ) 中 做 详细 介绍 。 
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图 5-7 应 用 代理 防火 墙 的 结构 和 运行 原理 


5.6 透明 代理 防火 墙 实现 解析 


从 技术 原理 来 看 ,与 应 用 代理 防火 墙 相 比 ,透明 代理 防火 墙 中 明显 的 不 同 在 于 : 经 过 透 
明代 理 防火 墙 所 在 主机 的 IP 数据 包 , 其 目标 地 址 不 是 透明 代理 防火 墙 的 IP 地 址 ,而 是 目标 
服务 器 的 IP 地 址 。 因 此 , 若 不 经 过 特殊 的 技术 处 理 , 所 在 主机 的 IP 协议 层 不 会 从 相应 IP 
数据 包 中 提取 出 数据 交 给 上 层 协议 处 理 , 而 是 转发 至 网 络 下 一 跳 ,这 样 作为 应 用 程序 运行 的 
透明 代理 防火 墙 不 可 能 获得 这 些 IP 数据 包 , 更 谈 不 上 对 它们 进行 控制 和 过 滤 。 

鉴于 此 ,要 实现 透明 代理 防火 墙 ,其 直观 思路 是 更 改 或 重新 实现 操作 系统 中 的 TCP/IP 
协议 ,以 改变 其 原 有 IP 数据 包 的 协议 处 理 流程 。 不 难 理解 ,重新 实现 操作 系统 TCP/IP 协 
议 的 难度 是 可 想 而 知 的 ,为 开发 透明 代理 防火 墙 而 重新 实现 TCP/IP 协议 所 花费 的 代价 很 
大 。 如 果 在 原 有 操作 系统 (假定 为 开源 的 Linux 系统 ) 协 议 实 现 的 基础 上 直接 进行 修改 ,可 
以 减少 开发 的 工作 量 。 但 因 涉 及 内 核 层 的 编程 开发 比 应 用 层 有 很 大 的 难度 ,而 且 需 要 对 原 
有 的 TCP/IP 协议 实现 有 很 好 的 了 解 , 显 然 通 过 直接 修改 Linux 协议 来 实现 透明 代理 防火 
省 也 不 是 一 个 很 好 的 解决 方案 。 

幸运 的 是 ,Linux 系统 的 Netfilter 框架 提供 了 目标 IP 地 址 和 目标 端口 重 定向 功能 , 利 
用 该 功能 ,就 能 够 让 TCP/IP 协议 对 接收 到 目标 地 址 不 是 透明 代理 防火 墙 的 IP 数据 包 也 交 
给 透明 代理 防火 墙 处 理 ,而 不 按 常 规 处 理 , 即 转发 该 IP 数据 包 。 因 此 基于 Netfilter 框架 ， 
就 可 将 需要 进行 安全 处 理 的 数据 包 送 到 应 用 层 , 供 透明 代理 防火 墙 进行 网 络 访问 控制 。 

因此 一 个 完整 透明 代理 防火 墙 的 基本 工作 原理 和 流程 为 : 

。 通过 IPtables 配置 Netfilter, 使 其 一 旦 在 IP_PRE_ROUTING 点 接收 到 IP 数据 包 ， 
不 管 该 数据 包 原 来 的 目标 地 址 、 端 口 如 何 , 一 律 将 其 目标 地 址 改 成 本 机 的 IP 地 址 ， 
并 将 其 目标 端口 改 为 透明 代理 防火 墙 所 监听 的 端口 。 

IP 数据 包 进 入 透明 代理 防火 墙 所 在 主机 后 .首先 经 过 目标 地 址 和 目标 端口 重 定向 ， 
然后 进入 TCP/IP 协议 的 后 继 处 理 流程 ,协议 依据 修改 后 的 目标 地 址 和 端口 处 理 该 
IP 数据 包 。 经 过 TCP/IP 协议 的 一 系列 处 理 , 透 明代 理 防火 墙 从 所 监听 的 端口 就 能 
获得 网 络 应 用 数据 。 

。 运行 在 应 用 层 的 透明 代理 防火 墙 在 接收 到 网 络 应 用 数据 后 ,就 可 以 和 应 用 代理 防火 
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墙 一 样 对 应 用 会 话 进行 分 析 和 控制 。 

。 相 应 地 ,对 于 从 目标 服务 器 返回 来 的 响应 ,其 对 应 的 IP 数据 包 在 从 透明 代理 防火 墙 
所 在 主机 发 往 客户 端 前 ,需要 进行 源 IP 地 址 和 源 端口 的 重 定向 。 

透明 代理 防火 墙 的 实现 结构 和 运行 原理 如 图 5-8 所 示 。 


安全 管理 员 
访问 判决 
规则 配置 程序 -| 过 湛 规则 划一 一 |” 忆 数 
一 1 
iNetfiker 地 。 | 代理 股 务 会 话 控制 代理 客户 
“ 址 重 定员 器 模块 模块 | “| 端 模 岂 


应 由 层 


网 关 (Linux 系统 ) 
图 5-8 透明 代理 防火 墙 的 实现 结构 和 运行 原理 


在 运行 透明 代理 防火 墙 时 ,需要 对 Netfilter 机 制 进行 设置 ,让 Netfilter 在 IP_PRE _ 
ROUTING 的 钩子 点 上 进行 目标 地 址 转换 ( 即 DNAT) ,将 报 文 的 目标 IP 地 址 和 目标 端口 
重 定向 到 透明 代理 防火 墙 所 在 主机 的 IP 地 址 和 透明 代理 防火 墙 监听 的 网 络 端口 。 

在 透明 代理 防火 墙 的 实现 中 有 一 点 非常 关键 ,由 于 重 定向 后 IP 数据 包 的 目标 IP 地 址 
和 目标 端口 已 经 被 Netfilter 修改 过 ,透明 代理 防火 墙 就 不 能 直接 获得 客户 端 所 要 连接 的 目 
标 服务 器 的 IP 地 址 和 端口 ,获得 不 了 目标 服务 器 的 IP 地 址 和 端口 ,就 无 法 代替 客户 端 去 连 
接 目 标 服 务 器 。 如 何 获 得 目标 服务 器 的 IP 地 址 和 端口 ,将 在 本 书 “ 开 发 实践 篇 ”( 见 第 13 
章 ) 结 合 开发 实例 进行 详细 阐述 。 


5.7 本 章 小 结 


在 目前 的 Linux 操作 系统 平台 上 , 除 直接 配置 Netfilter 的 包 过 滤 规 则 实现 报 文 过 滤 
外 ,还 有 四 种 常用 方式 来 开发 和 实现 网 络 防火 墙 ,其 技术 原理 可 概括 如 下 : 

。 基 于 内 核 模块 的 包 过 滤 防 火 墙 : 将 访问 判决 函数 实现 在 新 编写 的 内 核 模块 中 ,并 将 
这 些 函 数 注册 到 Netfilter 框架 中 相应 的 钧 子 点 。 当 有 IP 数据 包 通过 时 ,访问 判决 
函数 会 自动 调用 ,从 而 实现 报 文 过 滤 功 能 。 
基于 Netfilter 队列 功能 的 包 过 滤 防 火 墙 : 通过 Netfilter 的 队列 功能 ,将 流 经 网 关 的 
IP 数据 包 传 递 到 应 用 层 空间 进行 检查 和 控制 ,经 许可 放行 的 IP 数据 包 再 通过 队列 
功能 交还 给 Netfilter 进行 后 继 处 理 。 
应 用 代理 防火 墙 : 以 代理 服务 器 的 形式 存在 ,对 所 代理 的 网 络 会 话 实施 相应 的 安全 
检查 和 网 络 访问 控制 ,对 不 能 通过 检查 的 网 络 会 话 拒绝 提供 代理 服务 ,从 而 阻 断 内 
外 网 间 的 非法 网 络 数据 访问 。 
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。 透明 代理 防火 墙 : 通过 Netfilter 的 网 络 地 址 重 定向 功能 ,将 流 经 网 关 的 IP 数据 包 
重 定向 到 应 用 层 的 透明 代理 防火 墙 ,由 应 用 层 的 透明 代理 防火 墙 实现 网 络 会 话 级 的 
安全 检查 和 网 络 访问 控制 。 

本 章 对 上 述 四 种 防火 墙 的 实现 结构 和 运行 原理 进行 解析 ,这 里 将 两 种 包 过 滤 防 火 墙 和 
两 种 代理 防火 墙 的 实现 特点 分 别 对 比如 下 : 

。 基于 内 核 模块 的 包 过 滤 防 火 墙 和 基于 Netfilter 队列 机 制 的 包 过 滤 防 火 墙 存在 明显 
的 相似 处 ,具体 表现 为 二 者 都 要 自己 实现 规则 配置 程序 .设计 过 滤 规则 表 和 访问 判 
决 函数 ,并 且 这 三 部 分 可 以 用 类 似 的 方法 实现 。 这 两 种 防火 墙 明显 的 不 同 在 于 , 基 
于 内 核 模块 的 包 过 滤 防 火 墙 需要 在 Linux 内 核 层 以 内 核 模 块 的 方式 实现 访问 判决 
函数 ,而 基于 队列 机 制 的 包 过 滤 防 火 墙 以 单独 应 用 程序 的 方式 实现 访问 判决 函数 。 
与 此 对 应 的 是 ,在 实现 这 两 种 防火 墙 时 Netfilter 配置 也 有 所 不 同 ,前 者 涉及 到 钩子 
函数 的 注册 ,而 后 者 要 配置 Netfilter 的 队列 机 制 。 另 外 ,在 基于 队列 机 制 的 包 过 滤 
防火 墙 中 ,由 于 IP 数据 包 要 传递 到 应 用 层 进 行 处 理 ,涉及 到 内 核 层 和 应 用 层 的 大 量 
数据 交换 ,因而 该 防火 墙 的 运行 效率 要 显著 低 于 基于 内 核 模块 的 包 过 滤 防 火 墙 。 
应 用 代理 防火 墙 和 透明 代理 防火 墙 在 应 用 层 的 结构 和 处 理 流程 大 致 相同 ,都 需要 对 
应 用 层 协议 数据 进行 分 析 , 并 基于 分 析出 的 应 用 会 话 属性 进行 网 络 连接 和 会 话 控 
制 。 二 者 的 不 同 主要 体现 在 ,应 用 代理 防火 墙 在 内 核 层 不 需要 做 任何 工作 ,而 实现 
透明 代理 防火 墙 时 ,还 需要 利用 IPtables 对 Netfilter 机 制 进行 配置 ,启用 其 中 的 地 
址 重 定向 功能 。 

对 应 本 章 四 种 防火 墙 的 开发 实践 及 相关 的 实现 细节 ,将 在 本 书 “ 开 发 实践 篇 ”的 第 10 一 13 
章 分 别 阐述 。 


习 题 


1. 对 实现 包 过 滤 防 火 墙 和 透明 代理 防火 墙 而 言 , 都 涉及 到 对 TCP/IP 协议 中 IP 数据 
包 处 理 方式 的 控制 或 修改 ,以 直接 修改 协议 实现 的 方式 开发 这 两 类 防火 墙 有 哪些 困难 ? 

2. 简 述 Netfilter 机 制 的 组 成 以 及 运行 原理 。 

3. 详 述 Netfilter 用 什么 方式 实现 了 对 外 的 报 文 处 理 接 口 ,可 以 让 软件 开发 者 控制 IP 
协议 的 报 文 处 理 流 程 。 

4. Netfilter 机 制 中 设置 了 哪些 钩子 点 ? 协议 在 处 理 哪 些 报 文 以 及 在 处 理 到 哪个 阶段 
时 会 经 过 这 些 钧 子 点 ? 

5. 简 述 Netfilter 最 常用 的 两 种 内 嵌 报 文 处 理 方式 。 

6. 简 述 Netfilter 两 种 开放 的 IP 报 文 处 理 方式 。 

7. 在 Netfilter 机 制 下 ,怎样 实现 将 目标 IP 地 址 不 是 本 机 的 IP 数据 包 交 给 上 层 协议 处 
理 ,而 不 是 转发 至 下 一 跳 的 网 络 结 点 ? 

8. 简 述 如 何 通过 Netfilter 的 包 过 滤 功 能 在 实际 网 络 环境 中 搭建 一 个 包 过 滤 防 火 墙 。 

9. 从 实现 功能 的 角度 , 简 述 基于 内 核 模块 的 包 过 滤 防 火 墙 比 内 置 包 过 滤 防 火 墙 有 哪些 
好 处 。 
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10. 简 述 基于 内 核 模块 的 包 过 滤 防 火 墙 的 逻辑 结构 和 运行 原理 。 

11. 简 述 应 用 层 包 过 滤 防 火 墙 的 逻辑 结构 和 运行 原理 。 

12. 从 实现 难度 和 运行 效率 上 ,对 比 基 于 内 核 模块 的 包 过 滤 防 火 墙 与 基于 队列 机 制 的 
包 过 滤 防 火 墙 的 优 缺 点 。 

13. 简 述 在 Netfilter 机 制 下 透明 代理 防火 墙 的 实现 原理 。 

14. 从 使 用 方式 IP 数据 包 的 处 理 流程 上 ,对 比 应 用 代理 防火 墙 和 透明 代理 防火 墙 的 优 
缺点 。 
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互联 网 的 发 展 给 信息 共享 和 数据 共享 提供 了 很 大 便利 , 越 来 越 多 的 计算 机 系统 开始 以 
各 种 方式 接 入 到 互联 网 。 与 此 同时 ,各 种 网 络 应 用 也 快速 涌现 ,尤其 是 网 上 办 公 、 电 子 商 务 
等 应 用 越 来 越 普 及 。 由 于 Internet 的 开放 式 体系 结构 ,基于 Internet 的 数据 传递 和 网 络 应 
用 直接 暴露 在 网 络 黑客 的 面前 ,连接 人 Internet 的 计算 机 系统 面临 着 远程 网 络 攻击 和 入 侵 
的 风险 。 

计算 机 和 网 络 系统 遭 到 攻击 或 者 受到 入 侵 的 原因 是 多 样 的 , 既 有 技术 方面 的 原因 ,也 有 
系统 安全 管理 方面 的 原因 。 但 不 可 否认 的 是 , 绝 大 多 数 的 网 络 攻击 和 入侵 的 得 退 都 能 归 知 
于 被 攻击 目标 的 自身 原因 , 即 系统 自身 存在 这 样 或 者 那样 的 弱点 或 漏洞 ,或 者 说 系统 存在 一 
定 的 脆弱 性 或 安全 隐患 ,这些 脆弱 性 被 攻击 者 加 以 利用 ,从 而 形成 攻击 或 系统 入 侵 。 如 系统 
个 别 用 户 帐号 所 设置 的 口令 比较 简单 ,被 攻击 者 通过 一 定 的 技术 手段 猜 出 ,从 而 成 功 入 侵 到 
系统 中 。 

车 能 预先 对 系统 中 存在 的 脆弱 性 进行 针对 性 的 安全 修补 或 消除 ,就 能 够 有 效 地 降低 系 
统 遭 受 攻击 或 人 侵 的 可 能 性 。 要 对 系统 中 存在 的 脆弱 性 进行 针对 性 的 安全 修复 ,首先 要 发 
现 当 前 系统 中 存在 哪些 可 能 带 来 安全 隐患 的 弱点 ,这 就 是 系统 的 安全 脆弱 性 检测 与 分 析 。 
本 童 首先 介绍 安全 脆弱 性 检测 的 基本 概念 ,然后 重点 讲述 两 种 常见 的 脆弱 性 检测 技术 和 基 
本 实现 原理 : 端口 扫描 技术 和 纶 口令 扫描 技术 。 这 两 种 脆弱 性 扫描 工具 的 具体 开发 过 程 和 
源 代码 实现 将 在 第 14、15 章 分 别 介 绍 。 


6.1 安全 脆弱 性 检测 概述 


所 谓 的 安全 脆弱 性 是 指 系 统 的 一 组 特性 ,恶意 的 主体 (攻击 者 或 者 攻击 程序 ) 能 够 利用 
这 组 特性 ,获取 对 资源 的 未 授权 访问 或 者 对 系统 造成 损害 。 判 断 系统 或 系统 的 一 个 特性 (一 
种 系统 配置 等 ) 是 否 构成 安全 脆弱 性 的 一 个 准则 在 于 它 是 否 对 应 某 种 潜在 的 安全 威胁 , 即 攻 
击 者 能 否 据 此 形成 一 定 的 攻击 行为 并 对 系统 构成 安全 危害 。 据 SecurityFocus 公司 的 安全 
脆弱 性 统计 数据 表明 ,目前 绝 大 部 分 操作 系统 存在 安全 脆弱 性 。 除 操作 系统 外 ,一些 应 用 软 
件 也 面临 同样 的 问题 ,再 加 上 管理 软件 复杂 性 等 原因 ,信息 系统 的 安全 脆弱 性 是 一 个 普 i 
存在 的 问题 。 

安全 脆弱 性 是 一 个 动态 的 概念 ,一 组 系统 特性 在 没有 发 现 基于 它 所 形成 的 攻击 方式 前 
并 不 会 被 认定 为 构成 安全 脆弱 性 ,如 果 有 黑客 或 者 研究 人 员 基 于 该 系统 特性 构造 出 危害 系 
统 安全 的 攻击 方式 ,该 组 系统 特性 就 会 被 认定 为 构成 安全 脆弱 性 。 因 而 安全 脆弱 性 检测 依 
赖 于 已 知 安 全 脆弱 性 和 攻击 方式 的 发 现 。 

安全 脆弱 性 的 原创 性 发 现成 为 最 具 挑 战 性 的 研究 工作 ,当前 从 事 安 全 脆弱 性 挖掘 的 研 
究 部 门 主要 来 自 大 学 、 安 全 公司 和 黑客 团体 等 。 除 了 安全 脆弱 性 发 现 外 ,安全 脆弱 性 检测 还 


72 信息 安全 技术 解析 与 开发 实践 


需要 脆弱 性 信息 收集 .分 类 和 标准 化 等 研究 ,如 MITRE 组 织 制 定 了 通用 漏洞 列表 
(Common Vulnerabilities& Exposures,CVE) 来 规范 脆弱 性 命名 。 在 脆弱 性 信息 发 布 方面 ， 
卡 内 基 。 梅 隆 大 学 的 计算 机 安全 应 急 响 应 组 (Computer Emergency Response Team， 
CERT) 最 具有 代表 性 ,是 最 早 向 Internet 网 络 发 布 脆弱 性 信息 的 研究 机 构 。 

安全 脆弱 性 检测 对 消除 系统 的 潜在 安全 威胁 、 改 善 系 统 安全 特性 具有 非常 重要 的 意 
义 。 网 络 或 系统 管理 员 在 安全 脆弱 性 检测 后 ,需要 对 发 现 的 脆弱 性 进行 针对 性 地 处 理 ， 
常见 的 有 : 

。 关闭 不 必要 的 网 络 服务 端口 。 

。 进行 应 用 软件 的 安全 升级 。 

。 要 求 系统 用 户 设置 复杂 口令 ,增加 口令 的 强度 。 

。 更 改 系 统 或 应 用 软件 的 安全 设置 。 


6.2 脆弱 性 检测 的 技术 分 类 


按照 检测 思路 和 实施 方式 的 不 同 , 安 全 脆弱 性 检测 技术 可 以 分 为 两 类 : 基于 主机 的 安 
全 脆弱 性 检测 和 基于 网 络 的 安全 脆弱 性 检测 。 


6.2.1 基于 主机 的 脆弱 性 检测 


基于 主机 的 安全 脆弱 性 检测 主要 从 本 地 系统 管理 员 的 角度 去 发 现 系 统 中 存在 的 安全 弱 
点 ,实现 基于 主机 的 安全 脆弱 性 检测 的 软件 工具 通常 被 称 为 本 地 扫描 器 或 者 系统 扫描 器 ,该 
工具 主要 对 系统 中 不 合适 的 设置 脆弱 的 口令 以 及 其 他 与 安全 规则 相抵 触 的 对 象 进行 检查 。 

基于 主机 的 安全 脆弱 性 检测 工具 有 以 下 几 个 特点 : 

。 运行 于 单个 主机 ,扫描 目标 为 本 地 主机 。 

。 扫描 器 的 设计 和 实现 与 目标 主机 的 操作 系统 相关 。 

。 扫描 对 象 主要 包括 用 户 帐号 文件 .组 文件 .系统 权限 .系统 配置 文件 .关键 文件 日志 

文件 ,用户 口令 .网络 接口 状态 、. 系 统 服务 .应 用 软件 缺陷 等 。 

COPS(Computer Oracle and Password System) 是 一 种 典型 的 基于 主机 的 脆弱 性 检测 
工具 ,具体 形式 为 一 个 UNIX/Linux 平台 的 安全 工具 集 。 该 工具 集 的 主要 作用 是 寻找 管理 
错误 ,帐号 问题 以 及 未 认证 的 许可 或 权限 等 ,具体 的 检查 对 象 包括 : 

。 重要 系统 文件 和 目录 的 危险 权限 。 

。 所 有 用 户 可 读 /可 写 的 系统 文件 。 

所 有 文件 的 SUID 状态 。 

/etc/passwd 文件 中 的 空 口令 。 

/etc/group 文件 。 

用 户口 令 的 可 猜测 性 。 

在 /etc/rc* 中 的 命令 ,以 确保 没有 文件 或 路 径 是 所 有 用 户 可 写 的 。 
crontab 文件 ,以 确保 没有 文件 或 路 径 是 所 有 用 户 可 写 的 。 

用 户 的 工作 目录 ,以 确保 它 不 是 所 有 用 户 可 写 的 。 
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。 特定 的 用 户 文件 ,以 确保 它 不 是 所 有 用 户 可 写 的 。 

。 FTP 设置。 

。 非法 的 文件 系统 改动 。 

在 众多 的 系统 安全 脆弱 性 中 , 弱 口 令 是 系统 中 最 为 常见 ,也 是 安全 威胁 非常 严重 的 一 种 
安全 脆弱 性 。 所 谓 的 弱 口 令 是 指 易于 被 第 三 者 猜 出 的 口令 ,或 者 采用 一 定 的 技术 手段 (如 字 
典 攻击 等 ) 猜 出 的 口令 。 很 多 信息 系统 都 是 通过 帐号 加 口令 的 方式 来 验证 用 户 的 身份 ,因而 
如 果 某 用 户 帐号 设置 了 简单 的 口令 ,被 攻击 者 猜 出 口令 后 ,攻击 者 就 能 够 冒充 合法 用 户 侵入 
系统 ,从 而 对 系统 造成 危害 。 

本 书 以 弱 口 令 检测 为 实例 进行 基于 主机 的 安全 脆弱 性 检测 开发 实践 ,在 6.5 节 和 6.6 
节 中 对 弱 口 令 检 测 的 原理 和 实现 方式 进行 详细 介绍 ,并 在 第 15 章 进行 实际 的 开发 实践 
介绍 。 


6.2.2 基于 网 络 的 脆弱 性 检测 


基于 网 络 的 安全 脆弱 性 检测 技术 是 从 入 侵 者 的 角度 发 现 系统 中 的 安全 弱点 ,实现 基于 
网 络 的 脆弱 性 检测 的 软件 工具 通常 称 为 远程 扫描 器 或 者 网 络 扫 描 器 ,该 工具 通过 执行 一 些 
脚本 模拟 攻击 系统 的 行为 ,并 记录 系统 的 反应 ,从 而 发 现 系统 中 存在 的 漏洞 。 

基于 网 络 的 安全 脆弱 性 检测 工具 有 以 下 几 个 特点 : 
运行 于 单个 或 多 个 主机 ,扫描 目标 为 本 地 主机 或 者 单 /多 个 远程 主机 。 
扫描 器 的 设计 和 实现 与 目标 主机 的 操作 系统 无 关 。 
通常 的 网 络 安全 扫描 不 能 访问 目标 主机 的 本 地 文件 (具有 目标 主机 访问 权限 的 扫描 
除外 )。 
扫描 对 象 主要 包括 目标 主机 的 开放 端口 、 网 络 服务 、 系 统 信 息 、 系 统 漏洞 .远程 服务 
漏洞 特洛伊 木马 检测 ,拒绝 服务 攻击 等 。 

基于 网 络 的 脆弱 性 检测 从 入 侵 者 的 角度 对 系统 进行 远程 扫描 和 检测 ,能 够 发 现 系 统 中 
最 危险 、 最 可 能 被 入 侵 者 渗透 的 漏洞 ,扫描 效率 更 高 , 且 与 目标 系统 的 平台 类 型 无 关 , 便 于 网 
络 管理 员 发 现 整 个 网 络 (或 其 内 部 的 每 个 主机 ) 的 安全 脆弱 性 ,但 该 扫描 过 程 可 能 会 影响 网 
络 性 能 。 

NMap(Network Mapper) 是 目前 比较 流行 的 一 款 功 能 强大 的 网 络 扫描 器 ,可 以 帮助 网 
络 管理 员 探 测 系统 内 所 开放 的 UDP 或 者 TCP 端口 ,其 至 主机 所 使 用 的 操作 系统 类 型 ,还 
可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志文 件 中 供 进 一 步 分 析 。 

黑客 和 攻击 者 要 对 目标 网 络 (或 系统 ) 发 起 远程 攻击 ,首先 要 探测 到 目标 网 络 内 各 主机 
所 开放 的 网 络 服务 及 端口 ,进而 基于 这 些 网 络 服务 开展 相应 的 攻击 。 因 而 开放 不 必要 的 网 
络 服务 对 网 络 系统 的 安全 性 造成 非常 严重 的 威胁 ,是 网 络 脆弱 性 的 一 种 典型 体现 。 网 络 管 
理 员 通 过 一 些 检测 技术 预先 获知 网 络 中 对 外 开放 的 网 络 服务 ,督促 相应 主机 的 管理 员 关 闭 
这 些 不 必要 的 网 络 服务 ,对 改善 网 络 的 安全 性 非常 重要 。 

本 书 以 端口 扫描 为 实例 进行 基于 网 络 的 脆弱 性 检测 开发 实践 ,在 6.3 节 和 6.4 节 中 对 
端口 扫描 技术 的 原理 和 实现 方式 进行 详细 介绍 ,并 在 本 书 第 14 章 进 行 实际 的 开发 实践 
介绍 。 
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6.3 端口 扫描 的 基本 原理 和 技术 


在 TCP/IP 网 络 中 ,所 有 基于 客户 机 /服务 器 模式 ( 即 C/S 模式 ) 的 网 络 服务 (如 
HTTP、MAIL 等 ) 以 固定 端口 的 形式 向 网 络 用 户 提供 应 用 服务 。 计 算 机 系统 要 对 外 提供 网 
络 服务 ,需要 对 外 开放 指定 的 端口 ,其 他 主机 通过 向 该 端口 发 起 服务 请 求 从 而 使 用 该 网 络 服 
务 。 通 常情 况 下 ,开放 的 端口 对 应 所 开放 的 应 用 服务 。 

端口 扫描 的 目的 是 收集 目标 网 络 或 目标 主机 的 端口 开放 情况 。 安 全 管理 员 对 自己 所 管 
理 的 网 络 或 主机 进行 端口 扫描 ,可 以 有 效 发 现 系统 中 不 必要 开放 的 端口 ,进而 发 现 和 消除 系 
统 弱点 ,以 确保 系统 配置 的 正确 性 。 一 些 后门 或 者 病毒 通常 会 私下 开放 一 些 网 络 端口 ,莫名 
的 端口 打开 很 可 能 是 病毒 或 外 界 人 侵 者 所 为 ,因此 经 常 地 进行 自我 端口 扫描 有 助 于 发 现 病 
毒 和 外 界 人 侵 行为 。 

端口 扫描 技术 是 最 常用 的 一 种 网 络 扫描 技术 ,其 基本 原理 是 : 向 被 扫描 目标 主机 的 端 
口 发 送 探测 性 的 报 文 , 然 后 根据 该 主机 是 否 响应 报 文 , 以 及 响应 何 种 特征 的 报 文 , 来 断定 该 
端口 的 打开 情况 ; 通过 逐一 对 每 个 端口 进行 试探 ,就 能 知道 一 个 网 络 内 或 一 台 主 机 的 端口 
开放 情况 。 端 口 扫 描 中 的 “扫描 ”含义 就 是 对 所 有 可 能 的 端口 逐一 进行 试探 ,以 得 知 端口 开 
放 情 况 。 

因此 ,实现 端口 扫描 的 关键 技术 包括 两 个 方面 : 构造 和 发 送 具有 某 些 特征 的 探测 性 报 
文 ; 接收 和 分 析 来 自 被 扫描 主机 的 响应 报 文 。 其 中 构造 探测 性 报 文 是 端口 扫描 的 基础 , 构 
造 的 基本 原则 是 : 使 得 被 试探 的 主机 在 接收 到 该 探测 报 文 后 ,主机 上 相应 端口 开放 与 否 能 
够 影响 到 对 该 报 文 的 响应 , 即 是 否 回复 响应 报 文 ,以 及 回复 的 报 文具 有 何 种 特征 ,也 就 是 
说 扫描 者 能 够 根据 被 探测 主机 对 探测 报 文 的 回复 情况 ,判断 出 端口 开放 情况 甚至 其 他 
信息 。 

在 计算 机 网 络 协议 层次 中 ,端口 是 传输 层 协议 区 分 上 层 应 用 服务 的 标识 , 且 不 同类 型 传 
输 层 协议 的 端口 相互 独立 。 目 前 两 种 主流 的 传输 层 协议 TCP 协议 和 UDP 协议 分 别 对 应 不 
同类 型 的 端口 , 即 TCP 端口 和 UDP 端口 。 由 于 协议 类 型 的 不 同 ,两 类 不 同 的 端口 需要 分 别 
构造 不 同 协议 类 型 的 探测 性 报 文才 能 扫描 到 。 因 此 ,端口 扫描 分 为 UDP 端口 扫描 和 TCP 
端口 扫描 。 

根据 所 构造 和 发 送 的 探测 性 报 文 的 不 同 ,TCP 端口 扫描 技术 又 可 分 为 以 下 几 类 : 全 连 
接 扫描 (或 称 SOCKET 扫描 )、 半 连接 扫描 (或 称 SYN 扫描 )、 结 束 连 接 扫描 (或 称 FIN 扫 
描 )。 下 面 分 别 就 这 三 类 TCP 端口 扫描 技术 以 及 UDP 端口 扫描 技术 进行 介绍 。 


6.3.1 全 连接 扫描 技术 解析 


如 果 一 个 网 络 服务 是 建立 在 TCP 协议 基础 之 上 的 ,客户 端 和 服务 器 进行 实际 的 数据 通 
信之 前 ,需要 建立 TCP 连接 。TCP 协议 通过 三 个 报 文 来 建立 TCP 连接 , 即 三 次 握手 过 程 。 
客户 端 和 服务 器 建立 TCP 连接 的 大 致 过 程 如 下 : 

(1) 第 一 次 握手 。 建 立 连接 时 ,客户 端 发 送 带 SYN 标志 的 TCP 报 文 到 服务 器 ,并 且 客 
户 端 进入 SYN_SEND 状态 ,等 待 服务 器 确认 。 
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(2) 第 二 次 握手 。 服 务 器 收 到 带 SYN 标志 的 TCP 报 文 , 如 果 该 端口 是 打开 的 ,服务 器 
向 客户 端 回复 一 个 带 SYN 十 ACK 标志 的 TCP 报 文 ,此 时 服务 器 进入 SYN_RECV 状态 。 
车 端口 关闭 ,服务 器 会 向 客户 端 回复 带 RST 标志 的 TCP 报 文 ,或 者 不 进行 任何 回复 (不 同 
操作 系统 的 TCP/IP 协议 实现 有 差别 ) 。 

(3) 第 三 次 握手 。 客 户 端 收 到 服务 器 发 送 来 的 带 SYN 十 ACK 标志 的 TCP 报 文 , 向 服 
务 器 发 送 带 ACK 标志 的 TCP 报 文 ,此 包 发 送 完 毕 后 ,客户 端 进入 ESTABLISHED 状态 。 
服务 器 收 到 该 报 文 后 也 进入 ESTABLISHED 状态 ,完成 三 次 握手 。 完 成 三 次 握手 后 ,客户 
端 与 服务 器 就 可 以 传送 应 用 层 数 据 。 

扫描 主机 可 以 利用 与 被 扫描 目标 主机 的 指定 端口 建立 TCP 连接 的 方式 来 实现 端口 扫 
描 , 此 时 所 建立 的 连接 不 是 为 了 应 用 数据 通信 ,而 是 为 了 探测 被 扫描 主机 的 端口 开放 情况 。 
这 种 形式 的 端口 扫描 称 为 全 连接 端口 扫描 。 

基于 TCP/IP 协议 簇 提供 的 套 接 字 接 口 ,全 连接 端口 扫描 可 以 完全 在 应 用 层 实现 ,其 基 
本 原理 为 : 对 于 目标 主机 上 每 一 个 要 探测 的 端口 ,调用 套 接 字 函数 connect() 向 目标 主机 上 待 
扫描 的 端口 发 起 TCP 连接 请 求 ,本 机 的 TCP 协议 与 目标 主机 的 TCP 协议 开始 三 次 握手 过 程 ; 
如 果 被 扫描 主机 的 端口 是 打开 的 , 则 TCP 连接 就 能 建立 成 功 ,此 时 函数 connect() 返 回 0; 如 
果 端 口 是 关 闭 的 , 则 无 法 建立 TCP 连接 ,函数 connect() 返 回 SOCKET_ERROR ,表示 该 端 
口 不 可 访问 。 逐 一 对 目标 主机 上 的 每 个 端口 ,通过 调用 函数 connect() 尝 试 建立 连接 并 查看 
返回 值 , 就 能 知道 远程 目标 主机 端口 的 开放 情况 。 

全 连接 扫描 是 TCP 端口 扫描 的 最 基本 方法 ,通过 SOCKET 编程 能 方便 地 实现 相应 的 
扫描 工具 , 且 扫 描 工 具 可 以 任意 普通 用 户 的 身份 运行 ,而 不 需要 管理 员 帐 号 的 特权 。 全 连接 
扫描 的 显著 缺点 是 扫描 速度 慢 ,全 连接 扫描 通过 函数 connect() 来 判断 所 探测 端口 的 打开 情 
况 ,而 函数 connect() 通 过 观察 服务 器 的 响应 报 文 ( 即 建立 TCP 连接 的 第 二 次 握手 报 文 ) 来 
判断 端口 打开 情况 。 由 于 可 能 存在 网 络 延 迟 的 缘故 ,函数 connect() 即 使 暂时 没有 收 到 响应 
报 文 ,也 不 能 立即 确定 所 探测 的 端口 是 关闭 的 ,通常 情况 下 要 等 待 一 小 段 时 间 ( 以 排除 响应 
报 文 延迟 的 可 能 ) 后 才能 确定 端口 的 打开 情况 。 因 此 在 实现 全 连接 扫描 时 ,通常 采用 多 线程 
技术 同时 探测 多 个 端口 ,以 加 快 端口 扫描 的 速度 。 


6.3.2 半 连 接 扫描 技术 解析 


半 连 接 扫描 技术 是 全 连接 扫描 技术 的 发 展 。 通 过 分 析 TCP 建立 连接 时 的 三 次 握手 过 
程 可 以 发 现 ,作为 客户 端的 扫描 主机 在 收 到 目标 主机 所 回复 的 带 SYN 十 ACK 标志 的 TCP 
报 文 后 ,就 已 经 知道 对 方 的 相应 端口 是 打开 的 。 从 端口 扫描 的 角度 而 言 其 目的 就 已 达到 ,无 
需 再 向 目标 主机 回复 带 ACK 标志 的 报 文 以 完成 一 个 完整 的 三 次 握手 过 程 ,这 就 是 半 连 接 
扫描 的 基本 出 发 点 。 

半 连 接 扫描 的 基本 过 程 为 : 扫描 主机 向 目标 主机 的 指定 端口 发 送 带 SYN 标志 的 TCP 
报 文 ,如 果 目 标 主机 应 答 的 是 带 RST 的 TCP 报 文 , 则 该 端口 是 关闭 的 ; 如 果 目 标 主机 应 答 
的 是 带 SYN 十 ACK 的 报 文 , 则 该 端口 处 于 监听 状态 。 循 环 这 个 过 程 ,就 可 以 探知 目标 主机 
上 所 有 端口 的 打开 和 关闭 情况 。 

在 半 连 接 扫描 过 程 中 不 会 完成 一 个 完整 的 TCP 连接 建立 过 程 。 在 扫描 主机 与 目标 主 
机 的 指定 端口 建立 连接 过 程 中 ,只 完成 了 前 两 次 握手 ,在 第 三 步 时 扫描 主机 不 再 回复 带 
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ACK 标志 的 TCP 报 文 ,从 而 中 断 了 本 次 连接 建立 过 程 ,使 连接 没有 完全 建立 起 来 。 实 际 
上 ,这 也 是 将 这 种 技术 称 为 半 连 接 扫描 的 原因 。 
就 实现 技术 而 言 , 半 连接 扫描 要 比 全 连接 扫描 复杂 且 难 以 实现 ,这 主要 是 因为 : 四 无 法 
通过 普通 的 SOCKET 套 接 字 来 实现 ,在 普通 的 套 接 字 接 口 下 ,函数 connect() 的 执行 过 程 是 
一 个 建立 TCP 连接 的 完整 过 程 ,没有 办 法 制止 TCP 协议 进行 第 三 次 握手 , 即 阻止 给 目标 主 
机 回复 带 ACK 标志 的 TCP 报 文 ,因此 要 实现 半 连 接 扫 描 需 要 对 底层 协议 报 文 进行 直接 操 
纵 , 这 显然 比 全 连接 扫描 的 SOCKET 编程 要 复杂 ; 加 在 大 部 分 操作 系统 下 ,需要 超级 用 户 
的 权限 才能 直接 操纵 底层 协议 报 文 ,从 而 构造 和 发 送 带 SYN 标志 的 TCP 报 文 ,也 就 是 说 在 
扫描 主机 上 无 法 以 普通 用 户 帐号 发 起 半 连 接 扫描 。 


6.3.3 ”结束 连接 (FIN) 扫 描 技术 解析 


在 基于 TCP 协议 进行 数据 通信 前 ,需要 建立 TCP 连接 ,同样 在 通信 结束 后 ,也 需要 关 
闭 TCP 连接 以 释放 连接 资源 。 为 此 TCP 协议 定义 了 连接 关闭 过 程 ,以 及 为 完成 连接 关闭 
过 程 所 需 的 报 文 , 该 报 文 即 为 带 FIN 标志 的 TCP 报 文 。TCP 连接 的 一 方 (假定 为 客户 端 ) 
如 果 要 结束 通信 ,向 连接 的 另 一 方 (假定 为 服务 器 ) 发 送 带 FIN 标志 的 TCP 报 文 ,在 服务 器 
回复 带 ACK 标志 的 TCP 报 文 后 ,客户 端 向 服务 器 方向 上 的 数据 通信 终止 。 由 于 TCP 连接 
是 全 双 工 的 ,通常 还 需要 服务 器 发 送 FIN 报 文 、 客 户 端 发 送 ACK 报 文 来 关闭 另外 一 个 方向 
上 的 通信 。 因 此 TCP 协议 一 般 通过 4 个 报 文 来 完成 连接 关闭 过 程 。 结 束 连接 扫描 通过 发 
送 带 有 FIN 标志 的 TCP 报 文 来 实现 ,因而 通常 被 称 为 FIN 扫描 。 

结束 连接 扫描 通过 尝试 发 送 FIN 报 文 ,分 析 对 方 主 机 的 响应 情况 来 判断 端口 的 打开 情 
况 。 在 TCP 协议 中 ,如 果 收 到 一 个 FIN 报 文 , 协 议会 按 具 体 情 况 做 如 下 处 理 : 

(1) 若 该 FIN 报 文 对 应 一 个 已 经 建立 的 连接 , 则 回复 一 个 ACK 报 文 。 显 然 扫 描 主 机 
和 目标 主机 间 没 有 建立 过 连接 ,扫描 主机 发 送 FIN 报 文 的 目的 也 不 是 为 了 关闭 连接 ,这 种 
情况 在 端口 扫描 过 程 中 不 会 发 生 。 

(2) 若 该 FIN 报 文 没 有 对 应 已 建立 的 连接 ,但 是 该 FIN 报 文 对 应 的 端口 是 打开 的 , 则 
TCP 协议 会 丢弃 该 报 文 , 不 做 任何 处 理 。 

(3) 若 该 FIN 报 文 没有 对 应 已 建立 的 连接 , 且 该 FIN 报 文 对 应 的 端口 是 关闭 的 ,TCP 
协议 会 回复 一 个 带 RST 标志 的 TCP 报 文 。 

因此 ,扫描 主机 在 向 目标 主机 的 某 端 口 发 送 FIN 报 文 后 ,如 果 收 到 了 带 RST 标志 的 报 
文 , 则 表明 该 端口 是 关闭 的 ,否则 可 能 存在 以 下 两 种 情况 : 目标 主机 上 该 端口 关闭 但 所 回复 
的 RST 报 文 在 传输 过 程 中 丢失 ,或 者 目标 主机 上 该 端口 处 于 打开 状态 。 对 同一 个 目标 主机 
进行 多 个 端口 的 FIN 扫描 ,如 果 对 大 部 分 端口 收 到 了 带 RST 标志 的 回复 报 文 ,而 对 另外 一 
些 端口 没有 收 到 , 则 基本 可 以 断定 没有 收 到 报 文 回 复 的 端口 是 打开 的 。 

对 比 SYN 扫描 ,FIN 扫描 的 缺点 主要 在 于 其 扫描 结果 可 能 不 完全 准确 , 当 没 有 收 到 对 
方 主机 的 RST 报 文 时 ,还 要 进一步 甄别 是 端口 打开 还 是 响应 报 文 丢失 ,而 理论 上 也 不 可 能 
完全 排除 响应 报 文 丢失 的 可 能 性 。 

就 实现 技术 而 言 ,FIN 扫描 要 比 全 连接 扫描 复杂 ,与 SYN 扫描 的 实现 难度 相当 ,所 面 
临 的 问题 也 比较 类 似 ; 无 法 通过 普通 的 SOCKET 套 接 字 来 实现 ,在 普通 的 套 接 字 接口 
下 ,无 法 让 TCP 协议 去 关闭 一 个 本 来 就 没有 建立 的 TCP 连接 ,因此 同 半 连 接 扫 描 一 样 ， 
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FIN 扫描 需要 对 底层 协议 报 文 进行 直接 操纵 ; 四 同 实现 SYN 扫描 一 样 ,直接 操纵 底层 协议 
来 构造 和 发 送 带 FIN 标志 的 TCP 报 文 , 需 要 超级 用 户 的 权限 ,因此 无 法 以 普通 用 户 帐号 身 
份 发 起 FIN 连接 扫描 。 

另外 ,FIN 扫描 发 展 出 两 种 变种 形式 的 扫描 方式 , 即 Xmas 扫描 和 Null 扫描 。 这 里 不 
再 详 述 。 
6.3.4 UDP 端口 扫描 技术 解析 


UDP 协议 较为 简单 ,客户 端 和 服务 器 在 进行 数据 通信 之 前 无 需 建立 连接 ,在 数据 通信 
完成 之 后 也 无 需 关 闭 连 接 。 因 此 在 UDP 协议 中 没有 包含 SYN 或 FIN 标志 的 UDP 报 文 ， 
所 有 针对 TCP 端口 的 扫描 技术 无 法 实现 对 UDP 端口 的 扫描 。 

由 于 UDP 协议 中 只 有 用 于 数据 通信 的 报 文 ,没有 连接 控制 相关 的 报 文 , 进 行 UDP 端 
口 扫描 需要 构造 数据 通信 报 文 ( 报 文中 的 应 用 数据 部 分 可 随意 填充 ), 并 发 送 到 目标 主机 要 
探测 的 端口 。 如 果 端 口 是 打 开 的 ,目标 主机 的 协议 收 到 该 报 文 后 ,通常 会 将 其 发 送 至 监听 对 
应 端口 的 服务 程序 ,当然 这 里 不 能 指望 随意 填充 的 应 用 数据 会 被 该 服务 程序 理解 ,并 将 另 一 
段 应 用 数据 封装 在 UDP 报 文中 回复 过 来 。 在 这 种 情况 下 ,扫描 者 一 般 不 会 收 到 任何 响应 
报 文 。 

一 些 操作 系统 的 协议 在 实现 时 约定 , 当 接 收 到 一 个 发 往 未 打开 UDP 端口 的 UDP 报 
文 , 向 发 送 该 报 文 的 源 主机 回复 一 个 包含 ICMP_PORT_UNREACH 错误 ( 即 端 口 不 可 达 ) 
标志 的 ICMP 报 文 。UDP 端口 扫描 就 是 基于 此 判断 端口 是 否 打开 的 , 即 如 果 收 到 了 表示 端 
口 不 可 达 的 ICMP 报 文 , 则 表明 该 端口 是 关闭 的 。 

同 FIN 扫描 一 样 ,UDP 端口 扫描 的 扫描 结果 也 不 完全 准确 ,扫描 主机 即使 没有 收 到 端 
口 不 可 达 的 ICMP 报 文 , 也 不 能 断定 所 扫描 的 目标 端口 是 打开 的 。 除 因 端 口 打开 而 不 回复 
端口 不 可 达 的 ICMP 报 文 外 ,还 有 多 种 情况 会 导致 扫描 者 接收 不 到 相应 的 ICMP 报 文 , 具 体 
为 : 目标 主机 不 存在 ; 目标 主机 上 操作 系统 的 实现 不 同 , 有 些 操作 系统 接收 到 发 往 未 打开 
端口 的 报 文 时 不 回复 端口 不 可 达 信 息 ; 发 送 的 UDP 报 文 途中 丢失 ,目标 主机 没有 收 到 该 报 
文 ; 目标 主机 回复 的 端口 不 可 达 ICMP 报 文 途 中 丢失 。 

在 实现 上 ,UDP 端口 扫描 比 全 连接 扫描 要 复杂 一 些 , 应 用 程序 可 以 通过 普通 SOCKET 
接口 发 送 UDP 探测 报 文 ,但 是 不 能 通过 普通 SOCKET 接口 接收 到 目标 主机 返回 的 端口 不 
可 达 ICMP 报 文 , 需 要 借助 于 原始 套 接 字 接口 或 者 第 三 方 开发 的 抓 包 工具 才能 实现 。 由 于 
原始 套 接 字 接口 和 抓 包工 具 都 需要 管理 员 权 限 才能 调用 ,所 以 同 实现 半 连 接 扫描 和 结束 连 
接 扫描 一 样 ,无 法 以 普通 用 户 帐号 身份 发 起 UDP 端口 扫描 。 


6.4 ”端口 扫描 的 实现 解析 


端口 扫描 技术 的 基本 原理 是 ,向 被 扫描 的 目标 主机 某 端 口 发 送 探测 性 的 报 文 ,然后 根据 
对 方 主机 是 否 响应 报 文 ,以 及 响应 何 种 特征 的 报 文 来 断定 端口 的 打开 情况 。 因 此 ,实现 端口 
扫描 工具 的 关键 技术 包括 两 个 方面 : 构造 和 发 送 具有 某 些 特 征 的 探测 性 报 文 ,接收 和 分 析 
来 自 目 标 主 机 的 响应 报 文 。 
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为 了 便于 用 户 编程 实现 网 络 通信 ,操作 系统 的 TCP/IP 协议 通常 会 屏蔽 底层 协议 的 报 
文生 成 和 解析 细节 ,对 用 户 提供 方便 的 通信 接口 ,这 就 是 套 接 字 接口 。 一 般 的 套 接 字 接 口 对 
完成 正常 的 网 络 通信 带 来 了 很 大 的 便利 ,但 对 端口 扫描 程序 而 言 ,操作 系统 协议 提供 的 常见 
的 TCP 和 UDP 套 接 字 接 口 就 不 能 满足 要 求 ,因为 仅 使 用 一 般 套 接 字 接 口 的 端口 扫描 程序 
无 法 自由 构造 出 具有 指定 特征 的 探测 报 文 ,而 且 网 络 协议 在 收 到 一 些 端口 扫描 程序 所 需 的 
响应 报 文 时 ,也 不 会 将 这 些 报 文 交 给 端口 扫描 程序 来 处 理 。 

对 照 6. 3 节 中 介绍 的 SYN 扫描 、FIN 扫描 和 UDP 扫描 ,其 探测 报 文 以 及 可 能 收 到 的 
响应 报 文 都 是 传输 协议 层 的 报 文 ,这 些 底层 协议 报 文 由 传输 层 协 议 处 理 函 数 进行 相应 处 理 ， 
而 不 会 交 给 应 用 程序 进行 处 理 。 对 于 SOCKET 扫描 而 言 , 通 过 调用 套 接 字 接口 函数 
connect() 来 间接 发 送 探 测 性 报 文 ( 即 连接 握手 报 文 ), 且 协议 会 通过 函数 connect() 返 回 值 
告知 连接 是 否 建 立 , 因 此 可 以 完成 一 次 完整 的 扫描 过 程 。 但 对 SYN 扫描 和 FIN 扫描 而 言 ， 
无 法 通过 调用 一 般 的 套 接 字 接 口 函 数 单独 发 送 一 个 带 SYN 标志 或 带 FIN 标志 的 TCP 报 
文 ,即使 能 够 发 送 , 目 标 主机 的 响应 报 文 也 是 TCP 协议 层 的 报 文 ,无 法 通过 一 般 的 套 接 字 接 
口 获 得 该 响应 报 文 的 信息 。 

由 于 不 能 利用 普通 的 SOCKET 套 接 字 接口 对 底层 协议 进行 操纵 以 实现 自由 地 组 装 和 
发 送 报 文 ,也 不 能 利用 普通 的 SOCKET 套 接 字 接 口 直接 接收 和 处 理 底层 协议 报 文 , 因 此 无 
法 基于 普通 的 SOCKET 套 接 字 来 实现 SYN 扫描 、FIN 扫描 和 UDP 端口 扫描 。 目 前 有 两 
种 技术 能 够 实现 对 底层 协议 的 直接 操纵 ,一 是 基于 原始 套 接 字 实 现 , 二 是 借助 第 三 方 函数 工 
具 库 实现 。 下 面 分 别 介绍 这 两 种 技术 。 


6.4.1 原始 套 接 字 及 编程 


为 了 实现 网 络 服务 支持 的 开放 性 和 灵活 性 ,很 多 操作 系统 (Windows、Linux 等 ) 的 
TCP/IP 协议 不 仅 支持 一 般 的 TCP 和 UDP 类 型 的 套 接 字 , 还 支持 原始 套 接 字 (RAW _ 
SOCKET) 。 在 原始 套 接 字 中 ,操作 系统 的 TCP/IP 协议 不 再 基于 TCP/IP 协议 规范 对 报 文 
进行 默认 处 理 , 而 是 由 用 户 直接 进行 处 理 。 基 于 原始 套 接 字 ,甚至 可 以 发 送 一 个 自 定 义 的 
IP 数据 包 , 也 可 以 要 求 操作 系统 协议 在 接收 到 IP 数据 包 后 直接 交 给 用 户 程序 处 理 。 因 此 ， 
基于 操作 系统 协议 提供 的 原始 套 接 字 服 务 ,就 可 以 完成 对 探测 报 文 的 构造 和 发 送 , 以 及 获取 
和 解析 来 自 目 标 主 机 的 响应 报 文 ,进而 实现 一 个 端口 扫描 工具 。 

这 里 以 构造 和 发 送 SYN 报 文 为 例 ,来 简单 阐述 基于 原始 套 接 字 的 编程 方法 和 大 致 
步骤 。 

1. 创建 原始 套 接 字 

创建 原始 套 接 字 和 创建 一 般 套 接 字 都 是 利用 套 接 字 接口 函数 socket() 完 成 ,不 同 的 是 
传递 给 函数 socket() 的 参数 有 所 区 别 。 

函数 socket() 的 原型 为 : int socket(int af, int type, int protocol ); 

参数 af, 用 于 指明 协议 簇 ,在 TCP/IP 网 络 中 ,该 参数 为 AF_INET。 

参数 type, 用 于 指明 所 创建 套 接 字 对 应 的 网 络 服务 类 型 ,常见 的 类 型 有 : 

。 SOCK_STREAM: 指明 创建 的 套 接 字 为 流 套 接 字 , 用 于 TCP 协议 。 

。 SOCK_DGRAM: 指明 创建 的 套 接 字 为 数据 报 套 接 字 ,用 于 UDP 协议 。 

。 SOCK_RAW: 指明 创建 的 套 接 字 为 原始 套 接 字 ,用 于 直接 组 装 .发送 或 者 接收 底层 
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的 IP 报 文 。 
因此 在 发 送 SYN 报 文 的 源 代码 实现 中 ,需要 采用 如 下 的 形式 创建 套 接 字 : 


sockfd = socket(AF_INET,SOCK RAW,IPPROTO TCP); 


其 中 sockfd 用 于 保存 原始 套 接 字 创建 成 功 之 后 的 套 接 字 描述 符 ,该 描述 符 用 于 后 继 的 
套 接 字 操作 ,如 发 送 和 接收 报 文 等 。 

2. 定义 报头 的 内 容 

采用 原始 套 接 字 来 发 送 SYN 报 文 时 ,需要 直接 构造 TCP 协议 头 和 IP 协议 头 。 在 
TCP 报 文 头 部 中 ,需要 注意 对 以 下 协议 字段 的 设置 。 

。 目标 端口 : 设置 为 目标 服务 器 的 端口 。 

。 源 端口 : 因为 被 扫描 的 目标 服务 器 可 能 会 向 该 端口 回复 报 文 , 该 端口 设置 成 扫描 程 

序 监控 的 端口 。 

。 SYN 标志 位 : 设置 为 1, 通知 原始 套 接 字 发 送 的 是 一 个 TCP 连接 请 求 报 文 。 

。 校 验 和 : 要 在 其 他 协议 字段 设置 好 后 ,计算 出 头 部 的 校 验 和 。 

在 IP 报 文 头 部 中 ,重点 需要 注意 对 以 下 协议 字段 的 设置 : 
协议 类 型 字段 : 表明 该 IP 报 文中 的 传输 层 协议 类 型 ,应 设置 为 IPPROTO_TCP, 指 
明 发 送 的 是 TCP 报 文 。 
。 目标 地 址 : 设置 为 目标 服务 器 的 IP 地 址 。 
协议 版 本 号 : 本 章 的 扫描 工具 只 考虑 IPv4 ,因此 这 里 设置 为 4。 
IP 头 部 长 度 : 这 里 构造 的 IP 数据 包 无 需 选项 字段 ,标准 的 IP 数据 包头 部 长 度 为 
20 , 设 为 20 即 可 。 

。 IP 数据 包 长 度 : 要 将 TCP 报 文 头 部 长 度 也 考虑 进去 ,这 里 设 为 40。 

3. 发 送 自己 构造 的 报 文 

在 原始 套 接 字 函 数 中 ,可 以 与 发 送 UDP 报 文 一 样 使 用 函数 sendto() 完 成 报 文 发 送 。 由 
于 函数 sendto() 默 认 的 方式 是 由 底层 协议 构造 TCP 头 部 和 了 P 头 部 ,而 这 里 需要 在 应 用 程序 中 
构造 报 文 头 部 ,不 必 再 让 底层 协议 添加 报 文 头 部 。 这 就 需要 调用 函数 setsockopt() 来 设置 
SOCKET 的 属性 ,通知 底层 协议 应 用 层 已 构造 好 报 文 的 协议 头 部 。 函 数 setsockopt() 的 使 
用 如 : 


setsockopt( sockfd, IPPROTO_IP, IP_HDRINCL, &optval, sizeof (optval)); 


其 中 参数 IP_HDRINCL 指明 无 需 底层 协议 构造 TCP 协议 头 部 和 IP 协议 头 部 。 设 置 
SOCKET 套 接 字 的 选项 后 ,就 可 以 调用 函数 sendto() 发 送 所 构造 的 扫描 报 文 。 


6.4.2 Libnet 和 Libpcap 库 函 数 编程 


直接 基于 原始 套 接 字 编程 实现 网 络 数据 包 的 生成 和 解析 ,需要 对 TCP/IP 协议 的 实现 
细节 进行 处 理 , 这 要 求 对 TCP/IP 协议 规范 十 分 清楚 ,因此 直接 基于 原始 套 接 字 开发 端口 扫 
描 工 具 具 有 一 定 的 难度 。 实 际 上 , 像 端 口 扫描 工具 一 样 .很 多 网 络 安全 工具 (包括 防火 墙 、 入 
侵 检测 系统 、 网 络 安全 监视 工具 等 ) 都 需要 对 底层 协议 数据 包 进行 直 接 处 理 ,都 面临 与 端口 
扫描 工具 开发 一 样 的 技术 问题 ,可 以 说 底层 协议 数据 包 处 理 在 网 络 安全 工具 开发 中 是 一 个 
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共性 的 需求 。 

为 了 简化 网 络 安全 程序 的 编写 过 程 ,提高 网 络 安全 程序 的 性 能 和 健壮 性 ,同时 使 代码 更 
易 重 用 与 移植 ,直接 操纵 底层 协议 数据 包 相 关 的 函数 库 就 应 运 而 生 。 这 些 函 数 库 将 最 常用 
的 协议 处 理 过 程 ( 如 数据 包 截获 构造、 发 送 、 接 收 等 ) 封 装 成 函数 的 形式 供 安全 程序 开发 者 
调用 ,完成 底层 数据 包 的 相应 控制 。 

Libnet 和 Libpcap 是 目前 最 著名 、 也 是 最 流行 的 操纵 底层 协议 数据 包 的 函数 库 , 其 中 
Libnet 提供 的 接口 函数 主要 实现 和 封装 了 数据 包 的 构造 和 发 送 过 程 ,Libpcap 提供 的 接口 
函数 主要 实现 和 封装 了 与 数据 包 截获 有 关 的 过 程 。 利 用 这 两 个 函数 库 开发 相关 的 网 络 安 全 
工具 ,网 络 安全 开发 人 员 能 够 忽略 网 络 底层 的 实现 细节 ,从 而 专注 于 程序 本 身 具体 功能 的 设 
计 与 开发 。 

1. Libnet 及 使 用 接口 

Libnet 是 一 个 小 型 的 接口 函数 库 ,主要 用 C 语言 写成 ,提供 了 底层 网 络 数据 报 文 的 构 
造 、 处 理 和 发 送 功能 。Libnet 的 开发 目的 是 建立 一 个 简单 统一 的 网 络 编程 接口 ,以 屏蔽 不 
同 操作 系统 底层 网 络 编程 的 差别 ,使 得 程序 员 将 精力 集中 在 解决 关键 问题 上 。 另 外 Libnet 
允许 程序 获得 对 数据 报 文 的 绝对 控制 。 

利用 Libnet 函数 库 开发 应 用 程序 的 基本 步骤 以 及 几 个 关键 的 函数 使 用 方法 简介 如 下 。 

(1) 初始 化 。 调 用 初始 化 函数 (函数 原型 为 libnet_t * libnet_init(int injection_type， 
char * device, char * err_buf);) 来 初始 化 Libnet 函数 库 , 返 回 一 个 libnet_t 类 型 的 描述 
符 , 以 在 随后 的 数据 报 文 构造 和 发 送 函 数 中 使 用 。 其 中 参数 injection_type 指明 了 发 送 数据 
报 文 所 使 用 的 接口 类 型 ,如 数据 链 路 层 或 者 原始 套 接 字 等 ,参数 device 是 一 个 网 络 设备 名 
称 的 字符 串 ,在 Linux 下 是 “eth0” 等 。 如 果 函 数 错 误 , 则 返回 NULL, 参 数 err_buf 指向 存储 
错误 原因 的 字符 串 。 

(2) 数据 报 文 的 构造 。Libnet 提供 了 丰富 的 数据 报 文 构造 函数 ,可 以 构造 TCP/IP 协 
议 复 中 大 多 数 协议 的 报 文 ,还 提供 了 一 些 对 某 些 参数 取 默 认 值 的 更 简练 的 构造 函数 供用 户 
选择 ,如 函数 libnet_autobuild_ipv4() 等 。 

(3) 数据 报 文 的 发 送 。 数 据 报 文 发 送 函 数 (函数 原型 为 int libnet_write(libnet_t *1);) 
将 所 构造 的 数据 包 发 送 到 网 络 上 ,如 成 功 将 返回 发 送 的 字 节 数 ,如 果 失 败 则 返回 一 1, 可 以 调 
用 函数 libnet_geterror() 得 到 错误 的 原因 。 

(4) 退出 。 调 用 函数 libnet_destroy() 退 出 该 Libnet 函数 库 。 

2. Libpcap 及 使 用 接口 

Libpcap(packet capture library) 是 一 个 C 语言 编写 的 数据 包 捕 获 函 数 库 , 其 功能 是 通 
过 网 卡 抓 取 网 络 中 的 数据 包 。Libpcap 通常 将 网 卡 接 口 设置 为 混杂 模式 ,因而 可 以 捕获 所 
有 经 过 该 网 络 接口 的 数据 报 文 , 即 使 数据 报 文 的 目标 地 址 不 是 本 机 。Libpcap 结构 简单 ,使 
用 方便 ,提供 了 20 多 个 C 接口 函数 ,利用 这 些 函 数 即 可 完成 相应 的 网 络 数据 包 监 听 功 能 。 
Libpcap 支持 多 种 操作 系统 ,为 不 同 操作 系统 平台 提供 了 一 致 的 C 函数 编程 接口 ,以 
Libpcap 为 接口 写 的 程序 和 应 用 能 够 自由 地 跨 平台 使 用 。 

利用 Libpcap 函数 库 开发 应 用 程序 的 基本 步骤 以 及 几 个 关键 的 函数 使 用 方法 简介 
如 下 : 
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(1) char x pcap_lookupdev(char * errbuf); 该 函数 用 于 返回 可 被 函数 pcap_open_live() 
或 函数 pcap_lookupnet() 调 用 的 网 络 设备 名 (一 个 字符 串 指针 )。 如 果 函 数 出 错 , 则 返回 
NULL, 同 时 参数 errbuf 指向 存放 相关 错误 消息 的 缓冲 区 。 

(2) int pcap_lookupnet(char * device, bpf_u_int32 * netp,bpf_u_int32 * maskp， 
char * errbuf); ”该 函数 用 于 获得 指定 网 络 设备 的 网 络 号 和 掩 码 。 参 数 netp 和 参数 
maskp 都 是 指向 bpf_u_int32 的 指针 。 如 果 函 数 出 错 , 则 返回 一 1, 同 时 参数 errbuf 指向 存 
放 相 关 错误 消息 的 缓冲 区 。 

(3) pcap_t * pcap_open_ live(char * device, int snaplen ,int promisc, int to_ms,char 
x* ebuf); ”该 函数 打开 设备 ,获得 用 于 捕获 网 络 数 据 包 的 数据 包 捕 获 描述 字 。 参 数 device 
为 指定 打开 的 网 络 设备 名 ; 参数 snaplen 定义 捕获 数据 的 最 大 字 节 数 ; 参数 promisc 指定 
是 否 将 网 络 接口 置 于 混杂 模式 ; 参数 to_ms 指定 超时 时 间 ( 单 位 毫秒 )。 如 果 函 数 出 错 , 返 
回 一 1, 同 时 参数 errbuf 指向 存放 相关 错误 消息 的 缓冲 区 。 

(4) int pcap_compile(pcap_t * p, struct bpf_program * fp,char * str, int optimize， 
bpf_u_int32 netmask); Libpcap 库 为 了 提高 报 文 捕获 的 效率 ,允许 程序 员 指 定 捕获 报 文 
的 具体 类 型 ,从 而 过 滤 掉 不 希望 捕获 的 报 文 , 该 过 滤 功 能 在 Libpcap 库 中 由 相应 的 过 滤器 来 
实现 。 该 函数 为 编译 和 设置 过 滤器 ,将 参数 str 指定 的 字符 串 编译 到 过 滤器 中 。 参 数 fp 是 
一 个 指向 bpf_program 结构 的 指针 ,在 该 函数 中 被 赋值 ; 参数 optimize 控制 结果 代码 的 优 
化 ; 参数 netmask 指定 本 地 网 络 的 网 络 掩 码 。 

(5) int pcap_setfilter(pcap_t * p，struct bpf_program *fp); ”该 函数 指定 一 个 过 滤 
器 。 参 数 fp 是 一 个 指向 bpf_program 结构 的 指针 ,通常 通过 pcap_compile() 函 数 生成 。 该 
函数 出 错时 返回 一 1 ,成功 时 返回 0。 

(6) int pcap_dispatch(pcap_t * p, int cnt,pcap_handler callback, u_char * user); 该 函 
数 捕获 并 人 处理 数据 包 。 参 数 cnt 指定 函数 返回 前 所 处 理 数 据 包 的 最 大 值 ,cnt 为 一 1 表示 在 
一 个 缓冲 区 中 处 理 所 有 的 数据 包 , 为 0 表示 处 理 所 有 数据 包 , 直 到 发 生 错误 . 读 取 到 EOF 或 
超时 (在 函数 pcap_open_live() 中 指定 )。 参 数 callback 指定 一 个 带 有 三 个 参数 的 回调 函 
数 , 这 三 个 参数 分 别 为 : 一 个 从 函数 pcap_dispatch() 传 递 过 来 的 u_char 指针 ,一 个 指向 
pcap_pkthdr 结构 的 指针 ,一 个 表明 数据 包 大 小 的 u_char 指针 。 函 数 pcap_dispatch() 如 果 
成 功 则 返回 读 取 到 的 字 节 数 , 读 取 到 EOF 时 则 返回 零 值 , 出 错时 则 返回 一 1, 此 时 可 调用 函 
数 pcap_perror() 或 函数 pcap_geterr() 获 取 错 误 信息 。 

(7) int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user); 该 函 
数 功能 与 函数 pcap_dispatch() 的 功能 基本 相同 ,只 不 过 此 函数 在 处 理 了 参数 cnt 指定 数目 
的 数据 包 或 出 现 错误 时 才 返 回 , 读 取 超时 则 不 会 返回 。 参 数 cnt 为 负 值 时 ,函数 pcap_loop() 将 
始终 循环 运行 ,直至 出 现 错误 。 

(8) u_char * pcap_next(pcap_t x*p，struct pcap_pkthdr * h); ”该 函数 返回 指向 下 
一 个 数据 包 的 u_char 指针 。 

(9) void pcap_close(pcap_t *p); 该 函数 关闭 参数 p 指向 的 Libpcap 句柄 ,并 释放 
资源 。 
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6.5 弱 口 令 扫 描 技术 基本 原理 


在 多 用 户 的 信息 系统 (数据 库 系 统 或 操作 系统 等 ) 中 ,每 一 个 用 户 有 自己 相应 的 操作 权 
限 , 如 对 同一 个 文件 ,不 同 用 户 有 不 同 的 访问 权限 。 信 息 系 统 在 判断 用 户 是 否 具有 某 操作 权 
限时 首先 需要 知道 该 用 户 的 身份 ,这 就 涉及 到 用 户 的 身份 鉴别 和 身份 认证 。 

为 了 区 分 用 户 的 身份 ,系统 管理 员 需 要 给 每 一 个 系统 用 户 分 配 一 个 身份 标识 , 即 帐号 或 
用 户 名 等 。 对 很 多 系统 而 言 ,在 进入 系统 前 ,需要 用 自己 的 帐号 登录 进入 系统 ,然后 才能 使 
用 该 系统 。 在 登录 过 程 中 ,系统 根据 帐号 来 识别 用 户 的 具体 身份 ,从 而 确定 该 用 户 应 具有 的 
操作 权限 ,这 个 过 程 称 为 用 户 身份 鉴别 。 

由 于 用 户 冒 充 现象 的 存在 , 即 一 个 用 户 冒 用 其 他 用 户 的 帐号 登录 系统 ,因此 在 确定 用 户 
身份 时 ,还 需要 对 用 户 登 录 帐号 进行 认证 ,来 进一步 确定 当前 用 户 是 登录 帐号 对 应 的 用 户 还 
是 在 冒 用 其 他 用 户 的 帐号 ,这 个 过 程 称 为 用 户 身 份 认证 。 

用 户 身份 认证 的 核心 是 登录 者 提交 与 登录 帐号 相对 应 的 证 据 来 证 明 自 己 的 身份 。 根 据 
证 据 类 型 的 不 同 , 常 见 的 认证 方式 通常 分 为 三 类 : 根据 登录 者 所 知道 的 信息 来 证 明 登 录 者 
的 身份 ,口令 认证 是 最 常见 的 这 种 认证 方式 之 一 ; 根据 登录 者 所 拥有 的 物件 来 证 明 登 录 者 
ede preorder et 

由 于 口令 认证 方便 易 行 ,只 需要 为 每 个 用 户 设置 一 无 需 增加 硬件 成 本 ,因而 在 
许多 信息 系统 中 得 到 广泛 的 应 用 。 ether pp tng 攻 
击 的 目的 是 为 了 获得 其 他 用 户 的 口令 ,从 而 冒充 其 他 用 户 登录 进入 系统 。 如 用 户 设 置 了 弱 
口令 , 即 以 英语 单词 人 名 、 地 名 或 生日 等 一 些 有 规律 .便于 记忆 的 词 条 作为 自己 帐户 的 口 
令 , 则 字典 攻击 比较 容易 成 功 。 因 此 , 弱 口 令 扫 描 能 帮助 系统 管理 者 在 字典 攻击 发 生前 发 现 
系统 中 用 户口 令 设置 的 缺陷 ,通过 重新 设置 复杂 的 用 户口 令 来 提高 系统 的 安全 性 。 

下 面 以 Linux 操作 系统 的 口令 认证 机 制 为 例 , 曾 述 弱 口令 扫描 的 技术 原理 以 及 相应 的 
实现 方式 。 


6.5.1 口令 认证 方式 解析 


口令 认证 的 基本 思路 是 ,系统 管理 员 为 每 个 用 户 帐号 预先 设置 一 个 口令 ,用 户 记 住 自己 
帐号 以 及 对 应 的 口令 ,信息 系统 也 要 保存 预 设 的 帐号 和 口令 ,这 个 过 程 称 为 口令 设置 阶段 ; 
用 户 在 进行 系统 登录 时 ,输入 自己 的 帐号 和 口令 ,信息 系统 将 该 口令 与 所 保存 相应 帐号 的 口 
令 进行 比 对 ,从 而 确定 用 户 的 真实 身份 ,这 个 过 程 称 为 登录 阶段 。 

在 口令 认证 中 ,口令 信息 保存 的 安全 性 非常 关键 ,在 很 大 程度 上 决定 了 口令 认证 方式 的 
安全 性 。 因 此 很 多 信息 系统 (包括 Linux 系统 等 ) 都 是 以 密 文 的 形式 保存 用 户口 令 , 即 在 保 
存 口令 前 先 对 口令 进行 加 密 处 理 。 为 了 防止 攻击 者 在 获取 口令 密 文 后 解密 出 明文 口令 ,从 
而 冒充 其 他 用 户 登 录 进 入 系统 ,信息 系统 通常 采用 单 向 加 密 算法 (又 称 散 列 函 数 ) 来 对 口令 
进行 加 密 处 理 ,这 样 即使 攻击 者 获得 口令 密 文 也 无 法 解密 出 明文 口令 来 。 

相应 地 ,采用 密 文 口令 的 系统 通过 比较 口令 密 文 来 认证 用 户 身 份 。 在 登录 阶段 ,登录 者 
输入 自己 的 帐号 和 口令 ,系统 采用 同样 的 单 向 加 密 过 程 对 该 口令 进行 加 密 , 然 后 将 加 密 后 的 
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密 文 与 所 保存 的 密 文 口令 进行 对 比 , 如 果 二 者 一 致 则 用 户 身份 认证 成 功 。 系 统 中 基于 口令 
认证 的 身份 认证 过 程 具体 如 图 6-1 所 示 。 


预 阁 明文 口令 帘 文 D 令 


输入 明文 | [ 今 


图 6-1 基于 口令 认证 的 身份 认证 过 程 


在 Linux 操作 系统 中 ,为 安全 性 等 方面 的 考虑 ,在 对 口令 进行 单 向 加 密 时 ,还 将 其 他 信 
息 (如 salt 值 等 ) 一 同 进行 加 密 处 理 , 即 将 明文 口令 和 相关 信息 合 在 一 起 加 密 得 到 密 文 (具体 
见 第 15 章 )。 除 口令 信息 外 ,口令 设置 阶段 和 登录 阶段 的 加 密 算法 以 及 所 包含 的 相关 信息 
都 一 致 ,如 果 明 文 口令 一 致 , 则 会 得 到 相同 的 加 密 结果 ,从 而 保证 身份 认证 的 成 功 。 


6.5.2 弱 口 令 扫描 的 基本 原理 


最 容易 想到 的 口令 扫描 方式 是 尝试 用 不 同 的 口令 登录 系统 ,希望 某 一 次 尝试 的 口令 正 
好 与 用 户 设 置 的 口令 是 一 样 的 ,这 样 就 可 以 成 功 登 录 系 统 。 每 次 的 登录 尝试 需要 手工 输入 
口令 , 少 则 花费 几 秒 钟 , 多 则 要 花费 数 分 钟 的 时 间 ,因此 在 有 限 的 时 间 内 ,不 能 进行 太 多 次 数 
的 口令 尝试 。 

弱 口 令 扫 描 的 基本 思路 是 以 自动 化 的 程序 方式 ,实现 上 述 的 口令 尝试 过 程 。 通 常 口令 
的 加 密 方式 (包括 加 密 算法 、 所 包含 的 其 他 相关 信息 等 ) 是 公开 的 ,通过 查阅 相关 文档 或 资 
料 ,就 可 知道 系统 所 采取 的 具体 加 密 方式 ,进而 通过 自己 实现 的 程序 来 判断 所 尝试 的 口令 是 
否 与 真实 口令 相符 。 

弱 口 令 扫 描 主要 包含 两 个 要 素 : 

。 字典 。 基 于 方便 记忆 等 方面 的 考虑 ,很 多 用 户 在 设置 口令 时 ,通常 将 英语 单词 .人 
名 、 地 名 ,生日 及 其 缩写 等 一 些 有 规律 \ 便 于 记忆 的 词 条 作为 自己 帐户 的 口令 。 将 可 
能 被 选 为 口令 的 潜在 词 条 集中 在 一 起 ,以 文件 或 数据 库 的 形式 保存 起 来 ,就 形成 了 
弱 口 令 扫 描 中 所 谓 的 “字典 ”。 弱 口令 扫描 将 按 字 典 中 的 词 条 来 一 一 尝试 口令 ,因而 
弱 口 令 扫 描 通 常 也 被 称 为 字典 扫描 。 

弱 口 令 扫 描 程序 。 该 程序 的 具体 功能 是 逐一 读 取 字典 中 的 词 条 ,进行 相应 的 加 密 处 
理 , 然 后 将 加 密 后 的 密 文 与 帐户 的 口令 密 文 进行 比较 。 如 果 二 者 一 致 ,该 词 条 就 是 
要 找 的 实际 口令 , 则 弱 口 令 扫 描 成 功 ,否则 继续 读 取 后 面 的 词 条 进行 同样 的 操作 , 直 
至 字典 结束 。 如 果真 实 的 口令 包含 在 字典 中 , 即 该 口令 为 字典 中 的 某 个 词 条 , 弱 口 
令 扫 描 就 能 找 出 这 个 作为 口令 的 词 条 来 ,这 样 就 成 功 检测 出 用 户 设置 的 简单 口令 。 

弱 口 令 扫 描 的 关键 在 于 字典 的 构造 ,如 果 字 典 中 包含 的 词 条 多 ,而 且 代表 性 强 , 被 扫描 
的 口令 在 该 字典 中 的 可 能 性 就 越 大 ,扫描 成 功 的 可 能 性 也 就 越 大 。 对 一 个 真实 的 弱 口 令 扫 
描 工 具 而 言 , 既 可 以 自己 构造 字典 ,也 可 以 从 网 络 上 下 载 字 典 。 
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弱 口 令 扫 描 以 程序 实现 口令 尝试 的 自动 化 , 相 比 前 面 提 到 的 手工 尝试 方式 , 弱 口 令 扫 描 
具有 较 高 的 效率 。 目 前 具有 一 般 硬件 配置 的 主机 ,也 能 在 几 秒 钟 之 内 完成 成 千 上 万 次 的 口 
令 尝 

由 于 用 户 对 信息 安全 的 重视 性 不 够 ,目前 很 多 系统 中 用 户 仍 然 选用 比较 简单 的 认证 口 
令 , 弱 口令 扫描 发 现 安全 脆弱 性 的 概率 还 是 比较 高 的 。 有 统计 报道 , 弱 口 令 扫 描 能 成 功 获取 
超过 半数 的 Linux 用 户口 令 , 这 些 弱 口令 如 不 进行 及 时 改正 ,很 容易 成 为 黑客 或 攻击 者 的 人 
侵 点 。 


6.6 Linux 下 弱 口 令 扫 描 实 现 解 析 


在 构造 弱 口 令 扫描 程序 时 ,需要 事先 知道 系统 所 采用 的 口令 保存 方式 以 及 口令 加 密 方 
式 , 知 道 了 这 两 方面 内 容 就 可 以 开发 相应 的 弱 口 令 扫描 程序 ,再 加 上 自己 构造 或 下 载 的 字 
典 ,就 能 实现 弱 口 令 扫描 。 

下 面 重点 阐述 Linux 系统 下 的 口令 保存 方式 及 具体 的 口令 加 密 方式 ,并 在 此 基础 上 介 
绍 Linux 系统 中 弱 口 令 扫 描 的 基本 流程 。 


6.6.1 口令 信息 的 保存 


Linux 操作 系统 中 所 有 用 户 的 帐户 信息 (包括 口令 密 文 ) 保 存在 配置 文件 /etc/passwd 
中 ,这 里 称 之 为 口令 文件 。 口 令 文 件 中 的 每 行 对 应 一 个 用 户 帐 户 的 信息 ,每 行 包含 由 6 个 冒 
号 分 隔 的 7 个 域 , 如 username:passwd:uid: gid:comments: directory:shell ,含义 分 别 为 用 
户 帐号 ,口令 域 数 字 表 示 的 用 户 标识 符 、 组 标识 符 、 用 户 说 明 、 用 户 工作 目录 、 用 户 登 录 后 启 
动 的 shell 程序 。 口 令 文件 中 一 个 具体 的 用 户 帐户 信息 实例 为 : 


zxc: $ 1$ t4sFPHBq $ JXgSGgvkgBDD/D7FVVBBmO0 :509:510: :/home/zxc:/bin/bash 


在 系统 运行 过 程 中 ,许多 应 用 程序 需要 使 用 口令 文件 中 的 信息 ,例如 1s 命令。 由 于 
Linux 文件 系统 以 用 户 标 识 符 来 表示 文件 主 ,如 果 不 能 访问 文件 /etc/passwd, 那 么 命令 
ls 一 1 在 列 目 录 信 息 时 ,获得 文件 主 后 无 法 将 其 转换 成 对 应 的 用 户 名 ,只 能 在 文件 主 一 栏 中 
显示 对 很 多 人 而 言 不 知 所 云 的 用 户 标识 符 。 因 此 实际 系统 中 的 口令 文件 对 所 有 用 户 都 开放 
了 读 权限 ,可 以 轻易 地 从 系统 中 获得 口令 文件 ,从 而 对 系统 构成 威胁 。 

另外 ,为 了 提高 口令 系统 的 安全 性 ,Linux 系统 出 现 了 影子 (shadow) 口 令 机 制 ,Linux 
管理 员 可 以 按照 系统 的 需求 来 决定 是 否 启 用 影子 口令 机 制 。 在 影子 口令 机 制 中 ,帐户 信息 
分 成 两 部 分 ,分 别 保存 在 文件 /etc/passwd 和 文件 /etc/shadow( 称 为 影子 口令 文件 ) 中 。 文 
件 /etc/passwd 中 不 再 保存 帐户 的 口令 密 文 ,其 相应 的 域 一 律 用 x 代替 ,而 文件 /etc/shadow 
则 保存 了 真正 的 密 文 口令 。 口令 文件 仍然 为 任意 用 户 可 读 ,而 影子 口令 文件 只 能 是 管理 员 
用 户 可 读 。 

影子 口令 文件 中 每 一 行 对 应 一 个 用 户 , 格 式 如 username: passwd:lastchg: min: max: 
warn: inactive:expire:flag, 其 中 前 两 个 域 分 别 对 应 帐户 名 和 口令 域 ,后 面 的 域 表 示 口 令 更 
新 的 天 数 \ 口 令 的 有 效 期 等 , 因 其 与 弱 口 令 扫 描 无 明显 联系 ,这 里 不 再 详 述 。 影 子 口令 文件 
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中 一 个 具体 的 帐户 信息 实例 为 : 


root: $ 1 $ t4sFPHBq $ JXgSGgvkgBDD/D7FVVBBm0:11037:0:99999:7: -1: 一 1:1075498172 


6.6.2 口令 的 加 密 方式 


Linux 系统 中 ,所 有 用 户口 令 相 关 的 信息 保存 在 口令 文件 或 影子 口令 文件 中 ,文件 中 每 
一 行 保存 一 个 用 户 帐 户 的 基本 信息 。 每 个 用 户 帐户 的 口令 保存 在 以 该 用 户 帐号 开头 那 一 行 
的 口令 域 中 。 口令 域 包含 两 部 分 内 容 , 分 别 表示 salt 值 和 口令 密 文 ,salt 值 以 $ 符号 结尾 ， 
后 面 紧 跟 口令 密 文 , 形 如 string $ string。 另 外 salt 值 通 过 前 缀 的 形式 指明 所 采用 的 口令 加 
密 算法 。 目 前 绝 大 部 分 的 Linux 系统 采用 MD5 (message-digest algorithm version 5) 加 密 
算法 来 加 密 口令 ,在 口令 域 中 ,MD5 对 应 的 salt 值 为 $1 string$ 。 

MD 是 一 种 信息 摘要 算法 ,由 MIT Laboratory for Computer Science 和 RSA Data 
Security Inc 的 Ronald L. Rivest 在 1991 年 开发 ,经 过 了 MD2、MD3 和 MD4 的 发 展 。MD5 
的 作用 是 对 一 段 信息 (message) 生 成 信息 摘要 (message-digest) ,该 摘要 对 该 信息 具有 唯一 
性 ,可 以 作为 数字 签名 。MD5 主要 用 于 验证 文件 的 有 效 性 , 即 是 否 有 丢失 或 损坏 的 数据 ,以 
及 对 用 户口 令 加 密 、 在 哈 希 函数 中 计算 散 列 值 等 。MD5 算法 的 最 大 特点 在 于 加 密 过 程 的 不 
可 逆 性 ,对 应 一 个 单 向 的 加 密 过 程 ,不 能 从 密 文 推导 出 明文 。 

在 用 于 Linux 口令 认证 的 MD5 加 密 过 程 中 ,还 涉及 到 salt 值 。salt 值 相 当 于 MD5 加 
密 算法 的 一 个 加 密 因 子 , 对 同一 段 明文 ,如 果 salt 值 不 同 , 所 计算 出 的 密 文 也 不 相同 。 在 口 
令 设 置 阶段 ,Linux 系统 会 随机 生成 一 个 salt 值 , 利 用 该 salt 值 对 所 设置 的 口令 进行 加 密 ， 
加 密 完成 之 后 ,将 salt 值 和 对 应 的 密 文 一 起 保存 在 口令 文件 (或 影子 口令 文件 ) 帐 户 对 应 的 
口令 域 中 。 

6.6.3 弱 口 令 扫 描 的 场景 和 流程 

进行 弱 口 令 扫 描 前 还 需要 构造 字典 ,这 可 以 自己 构造 ,也 可 以 从 网 络 上 下 载 。 获 得 字典 
文件 和 口令 文件 之 后 ,就 可 以 通过 编制 弱 口 令 扫 描 程 序 , 完 成 下 面 的 弱 口 令 扫 描 流 程 。 

图 6-2 给 出 了 对 口令 文件 /影子 口令 文件 中 某 一 个 帐户 进行 弱 口 令 扫 描 的 流程 。 因 为 
该 文件 包含 了 系统 中 所 有 用 户 的 口令 信息 ,可 以 通过 循环 上 述 过 程 逐 一 对 系统 中 所 有 帐户 
的 口令 进行 弱 口 令 扫 描 。 


字典 文件 


候选 词 条 
salt 傅 


MDS5 加 密 
算法 


逐次 该 叹 | 人 局 过 间 条 
候选 训 条 


passwd/sha 
dow 文件 


扫描 成 功 , 输出 
帐户 名 利口 令 


不 -到 


6-2 ” 弱 口 令 扫 描 流程 
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近年 来 ,为 了 提高 弱 口 令 扫 描 发 现 安全 脆弱 性 的 概率 ,一 些 弱 口令 扫描 工具 不 仅 一 一 匹 
配 和 验证 字典 中 的 候选 词 条 ,还 会 对 候选 词 条 的 变换 形式 (如 大 小 写 变换 、 词 条 组 合 等 ) 进 行 
验证 。 如 果 所 设置 的 口令 为 字典 中 某 词 条 的 简单 变换 ,该 弱 口 令 扫描 也 会 成 功 。 本 书 中 的 
相关 原理 和 开发 实践 暂 不 涉及 这 种 支持 词 条 变换 的 弱 口 令 扫描 方式 , 仅 在 第 15 章 的 弱 口 令 
扫描 工具 原型 开发 完成 后 简单 阐述 常见 的 词 条 变换 方式 (参见 15.4 节 “ 扩 展开 发 实践 ”) ,有 
兴趣 的 话 可 以 在 本 书 提供 的 原型 工具 基础 上 自行 实现 。 


6.7 本 章 小 结 


由 于 技术 或 管理 等 方面 的 原因 ,系统 在 运行 过 程 中 可 能 存在 一 定 的 脆弱 性 或 安全 隐患 ， 
这 些 脆弱 性 可 以 被 攻击 者 利用 ,从 而 形成 攻击 或 系统 入 侵 。 若 能 预先 对 系统 中 存在 的 脆弱 
性 进行 针对 性 地 安全 修补 或 消除 ,就 能 有 效 降 低 系统 遭受 攻击 或 人 侵 的 可 能 性 。 要 对 系统 
中 存在 的 脆弱 性 进行 针对 性 的 安全 修复 ,首先 要 发 现 当 前 系统 中 存在 哪些 可 能 带 来 安全 危 
害 的 安全 隐患 ,这 就 是 安全 脆弱 性 检测 。 本 童 重点 讲述 了 端口 扫描 和 弱 口 令 扫描 这 两 种 常 
见 脆弱 性 检测 的 基本 原理 和 实现 技术 。 

不 可 和 否认 ,脆弱 性 检测 作为 一 种 技术 手段 , 既 可 以 被 网 络 或 系统 管理 员 用 于 发 现 系统 中 
的 安全 脆弱 性 ,进而 对 发 现 的 脆弱 性 进行 消除 或 修正 ,也 可 能 被 黑客 或 攻击 者 用 于 发 现 攻击 
目标 系统 中 存在 的 安全 漏洞 ,进而 针对 所 发 现 的 安全 漏洞 进行 网 络 攻击 。 如 ,攻击 者 利用 端 
口 扫描 工具 收集 拟 攻 击 目 标 主机 的 端口 开放 信息 ,以 发 现 系统 的 弱点 ,进而 确定 入 侵 点 ,或 
者 攻击 者 通过 弱 口 令 扫描 工具 获得 合法 用 户 的 口令 ,进而 冒充 合法 用 户 进 入 系统 。 从 安全 
防御 的 角度 而 言 ,无 法 杜绝 将 脆弱 性 检测 技术 用 于 网 络 攻击 或 系统 入 侵 ,但 网 络 管理 员 可 以 
先 一步 利 用 脆弱 性 检测 技术 发 现 系 统 中 存在 的 安全 弱点 ,并 进行 针对 性 地 修复 ,来 提高 系统 
的 安全 性 ,降低 系统 受到 攻击 或 人 侵 的 风险 。 

在 本 章 原理 和 实现 技术 分 析 基 础 上 ,本 书 设计 了 两 个 原型 工具 的 开发 实践 , 即 端口 扫描 
工具 和 弱 口 令 扫 描 工 具 。 这 两 个 原型 工具 的 具体 开发 实践 过 程 将 在 第 14、15 章 详细 介绍 。 


习 题 


. 简 述 安全 脆弱 性 的 基本 概念 。 

-. 简 述 脆弱 性 检测 的 安全 意义 。 

. 简 述 端口 扫描 的 基本 原理 。 

.端口 扫描 过 程 具体 包含 哪 两 个 阶段 ?这 两 个 阶段 分 别 完成 什么 任务 ? 
. 简 述 全 连接 扫描 的 基本 原理 。 

. 相对 于 半 连 接 扫 描 ,全 连接 扫描 有 什么 样 的 优点 和 缺点 ? 

. 对照 TCP 的 三 次 握手 过 程 , 半 连 接 扫 描 和 全 连接 扫描 有 什么 不 同 ? 

. 简 述 半 连 接 扫描 的 基本 原理 和 过 程 。 

- 相对 于 全 连接 扫描 , 半 连 接 扫描 有 什么 样 的 优点 ? 


Co DL 
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任务 。 


0 mawN- oo 


. 半 连 接 扫描 比 全 连接 扫描 难以 实现 ,具体 体现 在 哪些 方面 ? 

. 简 述 FIN 扫描 的 基本 原理 。 

. 从 扫描 功能 上 看 ,FIN 扫描 存在 什么 缺点 ? 

. 简 述 UDP 端口 扫描 的 基本 原理 。 

. 哪 几 种 端口 扫描 方式 需要 直接 操纵 底层 协议 数据 包 ? 

. 简 述 原始 套 接 字 的 基本 概念 和 用 途 。 

.简要 介绍 Libpcap 和 Libnet 工具 库 的 用 途 。 

. 从 正 反 两 个 方面 简 述 端口 扫描 工具 的 用 途 。 

. 以 Linux 操作 系统 为 例 , 简 述 常见 口令 认证 方式 的 两 个 基本 过 程 及 分 别 完 成 的 


. 为 何在 一 般 的 口令 认证 中 ,采用 单 向 加 密 算法 对 口令 的 明文 进行 加 密 存储 ? 
. 简 述 弱 口 令 扫描 的 基本 原理 。 
本 


Linux 系统 中 的 口令 存储 方式 主要 有 哪 两 种 ? 
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随 着 各 种 攻击 和 入 侵 技 术 的 发 展 ,以 访问 控制 技术 为 核心 的 各 种 被 动 性 安全 机 制 (包括 
网 络 防火 墙 \ 主 机 上 的 资源 访问 控制 等 ) 并 不 能 杜绝 网 络 和 主机 受到 攻击 。 另 外 各 种 脆弱 性 
检测 技术 并 不 能 保证 能 够 发 现 和 修复 系统 中 所 有 的 安全 漏洞 ,由 于 各 种 技术 和 管理 上 的 原 
因 , 入 侵 者 仍然 可 能 找到 网 络 或 系统 的 漏洞 , 绕 过 防火 墙 对 其 进行 攻击 ,从 而 造成 各 种 形式 
的 入 侵 。 为 了 应 对 这 种 威胁 ,以 构筑 多 层次 的 安全 防御 体系 ,入 侵 检 测 技术 应 运 而 生 。 入 侵 
检测 作为 一 种 积极 主动 的 安全 防护 技术 ,及 时 发 现 内 部 攻击 、 外 部 攻击 和 误 操 作 等 危害 系统 
安全 的 行为 ,在 网 络 系统 受到 实质 危害 之 前 拦截 和 响应 人 侵 , 对 保障 系统 安全 具有 非常 重要 
的 作用 。 

本 章 主 要 介绍 人 侵 检测 的 基本 概念 和 常见 的 和 人 侵 检测 技术 ,然后 分 别 讨论 入 侵 检测 系 
统 的 两 种 主要 形式 , 即 主 机 型 人 侵 检测 系统 和 网 络 型 人 侵 检测 系统 ,最 后 对 入 侵 检 测 系统 的 
实现 结构 和 实现 方式 进行 解析 。 


7.1 人 侵 检测 概述 


入 侵 检 测 的 研究 最 早 可 追溯 到 James Aderson 在 1980 年 的 工作 ,他 首先 提出 了 入 侵 检 
测 的 概念 ,提出 审计 追踪 可 应 用 于 监视 入侵 威胁 。1987 年 D. E. Denning 提出 入 侵 检测 系 
统 (Intrusion Detection System,IDS) 的 抽象 模型 ,首次 将 入 侵 检 测 的 概念 作为 一 种 计算 机 
系统 安全 防御 措施 提出 ,与 传统 的 加 密 和 访问 控制 等 常用 安全 技术 相 比 ,IDS 是 一 种 全 新 的 
计算 机 安全 措施 。 

从 功能 上 来 看 ,入 侵 检 测 技术 通过 对 系统 的 行为 、 安 全 日 志 、 审 计数 据 或 其 他 网 络 上 可 
以 获得 的 信息 进行 分 析 , 及 时 发 现 并 报告 系统 中 未 授权 访问 或 异常 现象 ,是 一 种 用 于 检测 计 
算 机 或 网 络 中 违反 安全 策略 行为 的 技术 。 完 成 人 侵 检测 的 软件 与 硬件 的 组 合 便 是 入 侵 检 测 
系统 ,主要 用 于 检测 未 授权 对 象 ( 人 或 程序 ) 针 对 系统 的 入 侵 (intrusion) 企 图 或 行为 ,同时 监 
控 授 权 对 象 对 系统 资源 的 非法 操作 (misuse) 。 

一 般 的 入 侵 检 测 系统 ,其 实施 检测 的 基本 工作 流程 为 : 

(1) 信息 收集 。 从 系统 的 不 同 环节 收集 信息 。 入 侵 检测 的 第 一 步 是 信息 收集 ,不 同 的 
入 侵 检测 系统 基于 的 信息 有 所 差别 ,因而 所 需要 收集 的 信息 种 类 也 不 尽 相 同 。 和 人 侵 检 测 系 
统 收集 的 信息 内 容 通常 涉及 到 系统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行为 。 信 息 收集 通常 由 
放置 在 不 同 网 段 的 传感器 或 不 同 主机 上 的 代理 来 完成 。 

(2) 入 侵 分 析 。 分 析 收 集 到 的 各 种 信息 ,试图 发 现 入 侵 活动 的 踪迹 。 入 侵 分 析 是 入侵 
检测 系统 的 关键 和 核心 ,不同 的 入 侵 检 测 系统 在 判别 入 侵 和 攻击 行为 的 方法 上 存在 很 大 
区 别 。 

(3) 入 侵 响 应 。 对 分 析出 的 入 侵 或 危害 系统 安全 的 行为 ,按照 预先 定义 的 响应 措施 采 
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取 相 应 动作 ,如 记录 告警 等 ,甚至 直接 实施 一 些 安全 措施 ,如 终止 进程 .切断 连接 等 。 

考虑 到 入 侵 处 理 的 方便 性 和 时 效 性 ,实际 的 入 侵 检 测 系统 逐渐 向 集成 化 发 展 , 即 集成 网 
络 监控 和 网 络 管理 的 相关 功能 。 集 成 化 的 入 侵 检测 系统 当 发 现 网 络 中 某 台 设备 出 现 安全 问 
题 时 ,可 立即 对 该 设备 进行 相应 的 管理 ,从 而 形成 网 络 管理 网 络 监控 、 入 侵 检 测 三 位 一 体 的 
网 络 安 全 防御 体系 。 

误 报 率 和 漏 报 率 是 评价 和 人 侵 检测 系统 优 劣 的 最 主要 指标 。 漏 报 率 是 指 在 所 有 的 攻击 
事件 中 ,没有 被 入 侵 检 测 系统 检测 出 的 攻击 事件 所 占 的 比例 。 误 报 率 是 指 在 所 有 被 认定 
为 攻击 事件 并 对 此 报警 的 事件 中 ,被 入 侵 检测 系统 误 认为 攻击 事件 的 正常 事件 所 占 的 比 
例 。 对 一 个 实际 的 入侵 检测 系统 而 言 ,这 两 个 指标 显然 越 低 越 好 ,但 在 多 数 入 侵 检 测 系 
统 中 这 两 个 指标 通常 是 矛盾 的 。 入 侵 判 定 标准 过 于 严格 ,会 降低 系统 的 误 报 率 , 但 可 能 
会 增 大 系统 的 漏 报 率 。 相 反 地 ,如 果 和 人 侵 判 定 标准 过 于 宽松 , 则 会 降低 系统 的 漏 报 率 ,但 
系统 的 误 报 率 会 比较 高 。 实 际 的 入 侵 检 测 系统 在 判定 入 侵 时 ,需要 根据 具体 情况 平衡 这 
两 个 指标 。 


7.2 人 侵 检测 的 主要 技术 


入 侵 检测 作为 目前 最 为 重要 的 信息 安全 技术 之 一 ,其 相关 研究 一 直 受 到 信息 安全 界 的 
高 度 关 注 。 信 息 安 全 学 者 和 专家 从 不 同 的 检测 角度 出 发 提出 了 多 种 不 同 的 入侵 检测 技术 ， 
并 实现 了 相应 的 入 侵 检 测 系统 。 不 难看 出 ,入 侵 检 测 技术 的 核心 是 如 何 依据 所 收集 到 的 信 
息 来 判断 系统 中 是 否 存 在 入 侵 行为 。 从 判断 入 侵 的 技术 思路 而 言 ,入 侵 检测 技术 可 分 为 异 
常 检 测 技 术 和 误 用 检测 技术 。 前 者 通过 已 知 的 系统 正常 行为 来 判断 系统 的 当前 行为 是 否 异 
常 ,进而 判断 出 是 否 存在 入侵 行为 ,后 者 通过 已 知 的 攻击 特征 来 判断 系统 中 是 否 存在 入 侵 
行为 。 
7.2.1 误 用 检测 


误 用 检测 (Misuse Detection) 通常 又 被 称 为 基于 特征 的 入 侵 检 测 (Signature-based 
Detection) ,该 检测 技术 试图 从 已 知 的 攻击 行为 特征 来 判定 系统 当前 是 否 存在 某 种 类 型 的 
攻击 或 人 侵 。 

误 用 检测 技术 的 理论 依据 在 于 ,假设 入 侵 者 活动 可 以 用 一 种 或 一 组 模式 来 表示 ,入 侵 检 
测 系统 的 目标 是 检测 系统 的 当前 活动 是 否 符合 这 些 模 式 。 这 种 假设 在 多 数 情况 下 是 可 以 理 
解 和 成 立 的 ,入 侵 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 序列 ,如 猜测 口令 的 行为 序列 。 
这 种 行为 序列 构成 了 具有 一 定 行为 特征 的 模型 ,根据 这 种 模型 所 代表 攻击 意图 的 行为 特征 ， 
可 以 实时 地 检测 出 恶意 的 攻击 企图 。 

采用 误 用 检测 技术 的 入侵 检测 系统 在 实施 检测 之 前 ,首先 需要 对 已 知 的 攻击 或 人 侵 方 
式 所 伴随 的 系统 行为 特征 进行 分 析 和 描述 ,形成 相应 的 事件 模式 或 事件 模型 ,所 有 的 事件 模 
式 集合 在 一 起 就 构成 了 描述 攻击 行为 的 特征 库 。 实 施 检测 时 ,入 侵 检测 系统 会 将 当前 的 系 
统 行为 与 特征 库 中 的 每 个 事件 模式 逐一 进行 匹配 ,如 果 系 统 当 前 行为 与 某 个 事件 模式 相 吻 
合 , 就 判定 系统 遭受 到 这 个 事件 模式 所 对 应 类 型 的 攻击 或 入侵 。 
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误 用 检测 技术 的 关键 在 于 建立 起 一 套 描述 攻击 行为 特征 的 规则 或 模型 ,并 以 该 规则 为 
基础 建立 攻击 特征 库 。 理 想 的 攻击 特征 库 是 将 所 有 攻击 类 型 的 行为 特征 包含 进来 ,而 不 包 
含 任何 系统 正常 运行 的 行为 特征 。 攻 击 特征 库 直 接 决定 了 入 侵 检测 系统 的 检测 效率 ,其 完 
备 性 决定 了 所 能 检测 出 的 入 侵 类 型 。 

与 下 面 提 到 的 异常 检测 技术 相 比 , 误 用 检测 技术 具有 明显 的 优点 , 即 误 报 率 低 ,对 于 已 
知 的 攻击 ,可 以 详细 准确 地 报告 出 攻击 类 型 。 但 由 于 误 用 检测 技术 是 基于 已 知 的 攻击 行为 
特征 来 检测 入 侵 , 所 以 不 能 检测 出 未 知 攻击 ,也 不 能 检测 出 新 型 攻击 。 因 此 攻击 特征 库 必 须 
不 断 更 新 以 检测 出 更 多 类 型 的 入 侵 。 


7.2.2 异常 检测 


异常 检测 技术 提出 的 依据 是 假定 入 侵 行 为 会 伴随 着 有 别 于 系统 正常 行为 的 异常 活动 ， 
如 果 一 个 入 侵 或 攻击 不 会 带 来 系统 的 运行 异常 ,该 入 侵 从 异常 检测 的 角度 就 不 能 被 检测 
出 来 。 

为 实现 异常 检测 ,入 侵 检测 系统 需要 预先 建立 起 表示 系统 正常 行为 的 规范 集 (Normal 
Profile) 。 实 施 检测 时 ,和 人 侵 检测 系统 会 检测 和 度量 系统 当前 行为 与 该 规范 集 间 的 偏差 ,将 
那些 与 正常 行为 之 间 存 在 偏差 的 行为 标识 成 为 异常 ,然后 根据 异常 行为 的 发 生 特征 (如 异常 
程度 .异常 发 生 频 率 .异常 行为 的 危害 等 ) ,判定 系统 中 是 否 存在 入侵 。 

异常 检测 的 难题 在 于 如 何 建立 规范 集 以 及 如 何 设计 偏差 度量 算法 ,从 而 避免 将 正常 的 
操作 误 认为 人 侵 或 忽略 真正 的 人 侵 行为 。 统 计 方 法 是 较为 成 熟 的 一 种 人 侵 检测 方法 ,在 当 
前 产品 化 的 入 侵 检 测 系统 经 常用 到 。 基 于 该 统计 方法 ,入 侵 检测 系统 通过 分 析 和 学 习 系 统 
的 日 常 行为 ,将 那些 与 正常 行为 之 间 存 在 较 大 统计 偏差 的 行为 标识 成 为 异常 行为 。 

能 够 检测 未 知 或 新 出 现 类 型 的 攻击 和 入 侵 是 异常 检测 技术 的 最 大 优势 ,异常 检测 依据 
已 知 的 系统 正常 行为 特征 而 不 是 攻击 行为 特征 来 判断 系统 中 是 否 存在 入 侵 ,因而 能 够 检测 
出 新 的 攻击 类 型 。 对 比 前 面 讲 到 的 误 用 检测 技术 ,异常 检测 技术 也 存在 明显 的 缺点 : 

。 容易 发 生 入 侵 误 报 。 通 常人 侵 检 测 系统 中 所 预知 的 系统 正常 行为 特征 不 能 完全 涵 
盖 系 统 中 所 有 可 能 发 生 的 正常 行为 , 即 正常 行为 的 学 习 不 充分 。 同 时 由 于 检测 方法 
和 学 习 代价 的 局 限 ,多 数 采用 异常 检测 技术 的 入 侵 检 测 系统 也 不 能 充分 学 习 , 因 而 
所 检测 的 目标 系统 中 的 一 些 正常 行为 可 能 会 被 认定 为 人 侵 。 
基于 统计 方法 的 异常 检测 ,其 检测 时 间 相 对 较 长 ,入 侵 告警 时 间 相 对 滞后 。 男 外 对 
检测 出 的 入 侵 行为 ,无 法 确定 其 相应 的 攻击 类 型 ,更 无 法 确定 攻击 来 源 等 其 他 入 侵 
特征 。 这 些 不 足 不 利于 实现 入 侵 响 应 的 自动 化 。 
采用 异常 检测 技术 的 入侵 检测 系统 可 以 在 实施 入 侵 检 测 的 同时 学 习 用 户 的 使 用 习 
惯 ,从 而 具有 较 高 的 检 出 率 与 可 用 性 。 但 其 学 习 能 力也 给 入 侵 者 提供 了 机 会 ,可 通 
过 逐步 训练 使 人 侵 事 件 符合 正常 操作 的 统计 规律 ,小 心地 避免 系统 指标 的 突变 ,从 
而 透 过 入 侵 检测 系统 。 

近年 来 一 些 智 能 化 的 入侵 检测 技术 开始 出 现 , 即 采用 人 工 智能 的 方法 (如 神经 网 络 、 支 
持 向 量 机 等 ) 与 手段 来 检测 入 侵 , 不 过 这 些 复杂 的 入 侵 检 测 技术 多 数 还 处 于 理论 研究 阶段 ， 
还 很 少 用 于 实际 的 入 侵 检 测 产 品 中 。 
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7.3 主机 人 侵 检测 和 网 络 人 侵 检测 


基于 入 侵 检 测 所 依赖 的 信息 源 以 及 所 保护 的 对 象 不 同 ,入 侵 检测 系统 可 以 分 为 基于 主 
机 的 入 侵 检测 系统 ( 即 主机 入 侵 检 测 系 统 ) 和 基于 网 络 的 入 侵 检 测 系统 ( 即 网 络 入 侵 检 测 系 
统 )。 前 者 依赖 主机 内 部 的 审计 信息 ,对 安装 它 的 主机 系统 提供 攻击 检测 和 安全 保护 。 后 者 
主要 依赖 网 络 上 采集 来 的 网 络 操作 信息 ,对 整个 网 络 提供 攻击 检测 和 安全 保护 。 


7.3.1 主机 入 侵 检 测 


基于 主机 的 入 侵 检 测 系 统 出 现在 20 世纪 80 年 代 初期 , 那 时 网 络 还 没有 今天 这 样 普遍 、 
复杂 , 且 网 络 之 间 也 没有 完全 连通 。 基 于 主机 的 和 人 侵 检测 系统 主要 对 主机 内 部 用 户 的 操作 
行为 进行 人 侵 分 析 和 检测 ,分 析 的 数据 主要 是 计算 机 操作 系统 的 事件 日 志 、 应 用 程序 的 事件 
日 志 、 系 统 调用 和 安全 审计 记录 等 。 如 果 主 体 活 动 十 分 可 疑 ,如 行为 特征 违反 统计 规律 等 ， 
主机 入 侵 检测 系统 就 会 判定 该 主体 有 恶意 企图 ,从 而 采取 相应 措施 。 

主机 入 侵 检测 系统 所 分 析 的 数据 来 自 于 本 主机 系统 内 部 的 操作 记录 ,对 所 安装 的 主机 
系统 提供 攻击 检测 和 安全 保护 。 不 同 的 主机 入 侵 检测 系统 判断 系统 入 侵 的 方法 各 有 不 同 ， 
从 检测 技术 上 来 看 ,异常 检测 和 误 用 检测 都 常 采用 。 主 机 入 侵 检测 系统 中 常见 的 检测 对 
象 有 : 

。 用户 操作 记录 监控 。 根 据 登录 系统 之 后 的 操作 (如 文件 访问 、 改 变 文件 权限 、 试 图 建 
立新 的 可 执行 文件 或 试图 访问 特殊 的 设备 等 ) 来 判断 用 户 的 行为 特征 和 企图 ,进而 
发 现 系统 是 否 遭 受 攻击 。 
文件 完整 性 监控 。 对 关键 系统 文件 和 可 执行 文件 非法 自 改 检测 的 常用 方法 是 定期 
检查 文件 的 校 验 和 ,以 便 发 现 异 常 的 变化 ,进而 发 现 系统 遭受 的 攻击 和 入侵 。 
重点 应 用 服务 器 的 程序 异常 监控 。 在 目前 实现 的 入侵 检测 系统 中 ,有 两 种 主要 的 方 
式 实现 服务 器 程序 异常 监控 。 一 种 是 通过 对 服务 器 的 日 志 记 录 分 析 来 检测 外 来 用 
户 的 攻击 行为 , 另 一 种 是 通过 分 析 网 络 服务 器 程序 的 系统 调用 序列 来 检测 服务 器 是 
否 受 到 攻击 而 被 非法 控制 ,这 种 检测 方法 对 缓冲 区 溢出 攻击 具有 非常 好 的 效果 。 
对 比 下 面 讲 到 的 网 络 人 侵 检测 系统 ,主机 入 侵 检测 系统 具有 明显 的 优点 ,具体 包括 ， 

， 主机 入 侵 检测 系统 能 够 对 发 生 的 入侵 提供 更 加 详细 的 信息 。 除 了 指出 和 人 侵 者 试图 
执行 一 些 危险 的 命令 之 外 ,还 能 分 辨 出 入侵 者 具体 执行 的 操作 ,如 运行 的 程序 .打开 
的 文件 ,执行 的 系统 调用 等 。 

主机 入 侵 检 测 系 统 通 常情 况 下 比 网 络 入 侵 检 测 系统 的 误 报 率 要 低 。 因 为 检测 在 主 
机 上 运行 的 命令 序列 比 检 测 网 络 流 更 简单 ,而 且 能 够 获得 主机 系统 内 部 操作 的 详细 
信息 ,如 可 以 监视 所 有 用 户 的 登录 及 退出 情况 ,以 及 每 位 用 户 在 登录 系统 以 后 的 具 
体 行为 。 

主机 入 侵 检 测 系统 能 够 检测 到 一 些 网 络 入侵 检测 系统 察觉 不 到 的 攻击 ,如 由 缓冲 区 
溢出 漏洞 引起 的 网 络 入 侵 就 可 以 躲 开 网 络 入侵 检 测 系统 的 检测 ,而 主机 入 侵 检 测 系 
统 通 常 能 检测 出 这 种 类 型 的 攻击 。 
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另 一 方面 ,主机 入 侵 检测 系统 存在 一 定 的 不 足 , 具 体 体现 在 : 

。 主 机 入 侵 检 测 系统 主要 对 自身 主机 上 发 生 的 事件 和 行为 进行 检测 ,不 检测 网 络 上 的 
情况 。 个 别 网 络 攻击 方式 ,如 一 些 扫 描 攻 击 等 ,就 单个 主机 而 言 ,其 攻击 特征 并 不 明 
显 , 主 机 入 侵 检 测 系统 就 难以 有 效 检测 出 这 类 攻击 。 

主机 入 侵 检 测 系统 安装 在 需要 保护 的 主机 上 ,如 当 一 个 数据 库 服务 器 需要 保护 时 ， 
就 要 在 该 服务 器 上 安装 入 侵 检 测 系 统 ,这 可 能 会 降低 应 用 系统 的 效率 。 

一 些 主机 入 侵 检测 系统 依赖 于 操作 系统 或 应 用 服务 器 固有 的 日 志 与 监视 能 力 , 因 此 
其 部 署 受到 操作 系统 类 型 及 版 本 .应 用 服务 器 类 型 的 制约 。 

主机 入 侵 检测 系统 的 检测 范围 仅 限 于 所 安装 的 主机 ,而 在 一 个 网 络 中 全 面部 署 主机 
入侵 检测 系统 代价 较 大 ,因此 企业 中 很 难 将 所 有 主机 用 主机 入 侵 检测 系统 进行 保 
护 ,只 能 选择 其 中 的 部 分 主机 加 以 保护 。 那 些 未 安装 主机 入 侵 检 测 系统 的 主机 将 成 
为 保护 的 盲点 ,入 侵 者 可 利用 这 些 主 机 达到 攻击 目标 。 


7.3.2 网 络 入 侵 检测 


随 着 网 络 化 的 发 展 , 绝 大 部 分 主机 系统 都 以 各 种 形式 接 入 到 网 络 中 , 且 来 自 网 络 的 攻击 
行为 种 类 和 数量 要 远大 于 来 自 本 地 用 户 的 攻击 行为 种 类 和 数量 ,因此 一 些 入 侵 检 测 系 统 分 
析 来 自 网 络 访问 的 各 种 信息 (如 网 络 端口 的 活动 、 网 络 实时 连接 等 ), 以 及 时 发 现 各 种 网 络 攻 
击 和 入 侵 行 为 。 这 类 入 侵 检测 系统 称 为 网 络 人 侵 检测 系统 ,又 称 为 基于 网 络 的 入 侵 检测 系 
统 (Network-based Intrusion Detection System,NIDS) 。 

网 络 入 侵 检测 系统 担负 着 保护 整个 网 段 的 任务 ,通常 以 网 络 数据 包 作 为 分 析 数 据 源 。 
一 般 利用 工作 在 混杂 模式 下 的 网 卡 来 嗅 探 网 络 上 的 数据 包 , 一 些 复 杂 的 网 络 入 侵 检 测 系统 
还 可 能 需要 散布 在 网 络 中 的 传感器 来 实现 网 络 数据 信息 的 收集 。 

网 络 入侵 检测 系统 通常 使 用 模式 匹配 ,统计 分 析 等 技术 来 识别 攻击 或 入侵 行为 ,一 旦 检 
测 到 了 攻击 行为 ,该 系统 的 响应 模块 就 做 出 适当 的 响应 ,如 报警 .切断 相关 用 户 的 网 络 连接 
等 。 不 同 的 网 络 入 侵 检测 系统 在 实现 时 采用 的 响应 方式 也 可 能 不 同 ,通常 包括 通知 管理 员 、 
切断 连接 、 记 录 相 关 的 信息 以 提供 必要 的 法 律 依据 等 。 

与 前 面 讲 到 的 主机 入 侵 检 测 系 统 相 比 ,网 络 入 侵 检 测 系 统 的 优点 有 : 

。 网 络 人 侵 检 测 系统 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 业务 系统 的 主 
机 中 安装 额外 的 软件 ,从 而 不 会 影响 这 些 机 器 的 CPU .IO 与 磁盘 等 资源 的 使 用 ,不 
会 影响 业务 系统 的 性 能 。 网 络 入 侵 检测 系统 发 生 故 障 也 不 会 影响 正常 业务 的 运行 ， 
部 署 网 络 入 侵 检 测 系 统 的 风险 比 部 署 主 机 入 侵 检 测 系 统 的 风险 少 得 多 。 

网 络 人 侵 检 测 系统 能 够 对 整个 网 段 实现 监控 和 保护 ,实施 代价 小 、 部 署 方 便 。 网 络 
入 侵 检 测 系统 也 在 逐渐 向 专门 的 设备 发 展 ,安装 这 样 的 一 个 网 络 入 侵 检 测 系 统 非常 
方便 ,只 需 将 定制 的 设备 接 上 电源 ,做 很 少 的 一 些 配置 ,将 其 连 到 网 络 上 即 可 。 

网 络 入 侵 检测 系统 能 够 检测 那些 来 自 网 络 的 攻击 ,尤其 对 TCP/IP 协议 漏洞 和 不 足 
引起 的 安全 攻击 具有 非常 好 的 检测 效果 。 如 形成 拒绝 服务 攻击 (Denial of Service， 
DoS) 和 碎片 攻击 (Teardrop) 的 数据 包 在 经 过 网 络 时 ,网 络 入 侵 检 测 系 统 通 过 检查 
数据 包 的 头 部 就 能 发 现 这 些 攻 击 ,而 主机 入 侵 检测 系统 难以 有 效 发 现 这 类 攻击 。 
网 络 入 侵 检测 系统 的 不 足 主要 体现 在 难以 检测 出 由 于 应 用 程序 安全 漏洞 或 主机 配置 管 
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理 漏洞 引发 的 入 侵 或 攻击 ,如 攻击 者 通过 匿名 用 户 侵入 网 络 内 的 主机 系统 ,网 络 人 侵 检测 系 
统 就 不 能 及 时 检测 出 来 。 

基于 网 络 和 基于 主机 的 入 侵 检 测 系 统 都 有 各 自 的 优点 ,并 且 互 为 补充 ,因此 许多 机 构 的 
网 络 安全 解决 方案 都 同时 采用 了 这 两 种 入侵 检测 系统 。 如 配置 网 络 信 侵 检 测 系统 来 监控 来 
自 外 部 Internet 的 攻击 ,而 在 网 络 中 经 常 成 为 攻击 目标 的 服务 器 (如 DNS、E-mail 和 Web 
服务 器 等 ) 上 安装 主机 入 侵 检测 系统 ,其 检测 结果 也 要 向 分 析 员 控 制 台 报告 。 鉴 于 此 ,综合 
了 基于 网 络 和 基于 主机 的 混合 型 人 侵 检测 系统 开始 出 现 , 既 可 以 发 现 网 络 中 的 攻击 信息 ,也 
可 以 从 系统 日 志 中 发 现 异 常情 况 。 


7.4 人 侵 检测 系统 的 实现 技术 解析 


要 实现 一 个 具体 的 人 侵 检 测 系统 ,需要 了 解 人 侵 检测 系统 的 核心 技术 和 实现 结构 。 本 
章 首先 解析 入 侵 检测 系统 的 核心 技术 ,包括 工作 原理 .判别 人 侵 的 依据 和 具体 算法 实现 等 。 
然后 分 析 入 侵 检 测 系统 的 常见 实现 结构 ,最 后 重点 介绍 网 络 入 侵 检 测 系统 的 网 络 接 入 方式 ， 
即 如 何 部 署 到 具体 的 网 络 环境 中 。 


7.4.1 入 侵 检 测 系 统 的 工作 原理 


从 系统 组 成 的 角度 来 看 ,入 侵 检 测 系统 有 多 个 功能 模块 ,如 数据 采集 、 入 侵 响应 等 。 在 
入 侵 检 测 系统 的 所 有 功能 模块 中 ,分 析 和 检测 模块 是 最 为 核心 的 功能 ,该 模块 在 一 定 程度 上 
决定 了 其 他 功能 模块 的 实现 ,并 且 在 很 大 程度 上 决定 了 入 侵 检 测 系 统 的 性 能 。 分 析 和 检测 
模块 的 功能 是 根据 收集 到 的 信息 判定 当前 系统 是 否 遭 受 攻击 或 人 侵 ,以 及 受到 何 种 类 型 的 

在 判断 系统 ( 既 包 括 主机 系统 ,也 包括 包含 多 个 主机 的 网 络 系统 ) 是 否 遭 受 攻击 时 ,具体 
的 入 侵 检测 系统 主要 涉及 到 两 个 方面 的 要 素 : 一 是 所 依赖 的 数据 , 即 所 搜集 到 的 系统 当前 
运行 信息 ,二 是 具体 的 检测 算法 。 任 何 一 个 检测 算法 要 进行 人 侵 判定 ,都 需要 预先 知道 系统 
的 运行 特征 ,基于 预知 的 系统 运行 特征 ,通过 算法 对 比 当 前 的 系统 运行 特征 ,从 而 判断 出 系 
统 当前 是 否 遭 受到 攻击 。 

采用 不 同人 侵 检测 技术 的 入侵 检测 系统 从 不 同 的 角度 来 组 织 预知 的 系统 运行 特征 。 采 
用 异常 检测 技术 的 人 侵 检测 系统 中 ,所 预知 的 系统 运行 特征 是 系统 正常 运行 ( 即 不 受 攻击 ) 
时 的 特征 ,检测 算法 比 对 系统 当前 运行 特征 与 预知 的 系统 正常 运行 特征 ,以 一 定 的 形式 度量 
二 者 的 差异 ,并 以 此 为 依据 判断 系统 是 否 受到 攻击 或 人 侵 。 采 用 误 用 检测 技术 的 入 侵 检 测 
系统 中 ,所 预知 的 系统 运行 特征 是 遭受 攻击 或 人 侵 时 的 系统 运行 特征 ,检测 算法 比 对 系统 当 
前 运行 特征 与 预知 的 遭受 攻击 时 的 系统 运行 特征 ,以 衡量 二 者 间 的 相似 度 ,并 以 此 相似 度 来 
判断 系统 是 否 受 到 攻击 或 人 侵 。 


7.4.2 判定 入 侵 的 依据 


入 侵 检测 的 基本 原理 是 利用 预知 特征 去 判断 系统 当前 运行 过 程 中 是 否 受到 攻击 或 人 
侵 , 实 际 上 这 类 似 于 系统 状态 分 类 ,即将 系统 当前 状态 分 为 正常 状态 和 受 攻击 状态 。 从 分 类 
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学 的 角度 来 看 ,要 进行 分 类 首先 要 确定 分 类 标准 ,这 在 人 侵 检测 系统 中 对 应 为 系统 特征 选 
取 , 即 选取 哪些 种 类 的 系统 特征 作为 判断 系统 入 侵 的 依据 。 

在 系统 运行 过 程 中 ,可 能 会 存在 数 以 百 计 的 各 种 属性 特征 ,因此 在 入 侵 检测 系统 中 应 该 
选取 一 些 能 很 好 地 体现 系统 是 否 受 到 和 人 侵 的 系统 属性 , 即 用 于 入 侵 检 测 的 一 个 (或 一 组 ) 系 
统 属性 应 该 在 系统 正常 运行 和 受到 攻击 时 有 着 截然 不 同 的 表现 ,利用 系统 在 该 属性 上 的 差 
别 , 可 以 有 效 区 分 出 当前 系统 是 正常 运行 还 是 受到 攻击 。 

设计 和 人 侵 检测 系统 的 关键 在 于 找到 能 够 有 效 区 分 系统 正常 运行 和 受到 攻击 的 一 个 (或 
一 组 ) 系 统 属性 ,并 预先 总 结 出 正常 系统 (或 受 攻击 系统 ) 在 该 系统 属性 上 的 特征 ,这 就 是 本 
章 中 强调 的 预知 的 系统 运行 特征 。 在 异常 检测 技术 中 ,预知 系统 运行 特征 是 系统 正常 运行 
时 在 这 些 属性 上 的 表现 特征 ,检测 过 程 中 ,在 这 些 属性 上 与 预知 特征 不 吻合 或 偏差 较 大 的 系 
统 状态 将 被 认为 系统 受到 入 侵 。 在 误 用 检测 技术 中 ,预知 系统 运行 特征 是 系统 在 受到 某 种 
攻击 的 情况 下 在 这 些 属性 上 的 表现 特征 ,检测 过 程 中 ,在 这 些 属性 上 与 预知 特征 吻合 或 相差 
不 大 的 系统 状态 将 被 认为 系统 受到 入 侵 。 

不 同 的 入 侵 检测 技术 所 选取 的 用 作 判 断 入 侵 与 否 的 属性 存在 明显 的 不 同 。 用 于 异常 检 
测 技术 的 属性 常见 的 有 : 

。 系统 调用 特征 。 基 于 系统 调用 的 人 侵 检测 系统 主要 针对 各 种 网 络 服务 器 的 程序 异 
常 和 攻击 行为 检测 。 服 务 器 程序 的 主要 任务 是 接受 外 界 的 服务 请 求 ,然后 依据 不 同 
的 请 求 类 型 提供 相应 的 服务 , 即 完成 不 同 的 操作 。 从 操作 系统 层面 上 而 言 ,服务 器 
程序 完成 相应 的 操作 需要 执行 对 应 的 系统 调用 序列 。 可 将 服务 器 正常 运行 时 的 系 
统 调用 序列 作为 预知 特征 ,进而 判断 服务 器 程序 是 在 正常 运行 还 是 受到 了 攻击 。 
重要 系统 文件 的 摘要 。 攻 击 者 在 入 侵 系统 后 ,为 了 达到 危害 或 控制 系统 的 目的 , 通 
常会 修改 一 些 重要 的 系统 文件 ,定期 扫描 重要 系统 文件 是 否 修改 可 以 发 现 系统 入 侵 
行为 。 如 果 对 原来 的 重要 系统 文件 按照 一 定 的 算法 提取 摘要 信息 保存 起 来 ,在 系统 
运行 过 程 中 再 次 用 相同 的 方法 提取 摘要 信息 ,并 将 其 与 原来 的 摘要 信息 进行 比较 ， 
就 可 以 发 现 重 要 系统 文件 是 否 经 过 修改 ,并 据 此 发 现 系统 中 存在 的 入 侵 行为 。 

网 络 流量 特征 。 一 些 类 型 的 网 络 攻 击 ( 如 拒绝 服务 攻击 等 ) 发 生 时 可 能 会 伴随 着 较 
大 网 络 流量 的 出 现 , 通 过 对 系统 正常 运行 下 的 网 络 流量 进行 特征 提取 ,并 以 此 为 基础 
比 对 当前 的 网 络 流量 ,就 可 能 检测 出 当前 系统 是 否 正在 遭受 相应 类 型 的 网 络 攻击 。 

对 误 用 检测 技术 而 言 ,对 应 不 同 的 攻击 类 型 所 选取 的 系统 属性 也 不 相同 ,常见 的 用 于 误 
用 检测 的 属性 有 : 

。 TCP 协议 中 SYN 报 文 的 数量 和 频次 。 一 般 黑客 在 发 起 网 络 攻击 之 前 ,需要 了 解 所 
攻击 目标 主机 或 目标 网 络 的 基本 情况 , 即 收集 攻击 目标 相关 的 信息 ,如 开放 哪些 网 
络 服务 等 。 端 口 扫描 技术 是 黑客 们 最 常用 到 的 获取 开放 网 络 服务 的 一 种 技术 。 要 
扫描 网 络 内 部 所 开放 的 TCP 服务 ,就 要 向 网 络 内 部 主机 的 不 同 端口 发 送 大 量 的 带 
SYN 标志 的 TCP 报 文 ,因此 这 种 SYN 报 文 的 数量 和 频次 特征 可 以 用 作 检 测 某 些 
类 型 攻击 的 依据 。 
攻击 特征 串 。 系 统 配置 和 应 用 软件 中 存在 的 潜在 漏洞 常常 被 黑客 们 视 为 发 动 攻击 
的 理想 入 口 。 一般 而 言 ,这 些 潜 在 漏洞 只 有 在 接收 特定 的 外 界 输入 时 才 可 能 被 激发 
和 利用 。 要 利用 这 些 漏洞 攻击 网 络 中 的 主机 ,就 需要 向 网 络 内 部 传递 包含 这 些 特定 
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输入 ( 即 攻击 特征 串 ) 的 网 络 报 文 。 因 此 ,收集 攻击 目前 已 知 漏洞 的 特征 串 , 以 网 络 
上 传递 的 报 文 内 容 是 否 包含 攻击 特征 串 为 依据 ,可 以 有 效 判 断 出 是 否 存 在 相应 类 型 
的 入 侵 。 比 较 典 型 的 攻击 特征 串 包 括 用 于 缓冲 区 洲 出 攻击 的 Shellcode 串 、 各 类 
CGI 攻击 特征 串 等 。 


7.4.3 ”入侵 检测 算法 的 实现 方式 


在 和 人 侵 检测 系统 中 ,将 系统 当前 运行 特征 与 预知 系统 运行 特征 的 匹配 过 程 体现 为 一 套 
逻辑 流程 ,这 就 是 入 侵 检 测算 法 。 依 据 如 何 组 织 和 使 用 预知 的 系统 运行 特征 ,入 侵 检测 算法 
的 实现 可 分 为 如 下 两 种 : 

第 一 种 是 将 预知 特征 直接 以 程序 代码 的 方式 表示 ,即将 系统 预知 特征 直接 嵌入 到 入 侵 
检测 算法 的 实现 代码 中 。 这 种 实现 方式 的 最 大 优点 在 于 实现 简单 ,无 需 将 系统 运行 特征 规 
则 化 ,也 无 需 设计 特征 规则 的 描述 语言 。 这 种 方式 也 具有 明显 的 缺点 , 即 可 扩展 性 差 ,不 方 
便 扩充 新 的 预知 特征 。 因 而 在 产品 化 的 入 侵 检测 系统 中 很 少 采用 这 种 实现 方式 。 

第 二 种 是 以 特征 库 形式 表示 系统 预知 特征 ,这 样 系统 预知 特征 独立 于 入 侵 检测 算法 存 
在 ,入 侵 检 测算 法 在 检测 入 侵 时 会 按 需 要 动态 读 取 特 征 库 中 的 系统 预知 特征 ,与 系统 当前 运 
行 特 征 进行 比 对 ,从 而 判断 系统 当前 是否 存在 入 侵 。 这 种 实现 方式 相对 而 言 比较 复杂 ,需要 
设计 一 套 表 述 系 统 运行 特征 规则 (一 般 称 之 为 检测 规则 ,或 者 攻击 模式 、 正 常 模式 ) 的 描述 语 
言 ,而 且 检 测算 法 的 实现 代码 (一 般 称 为 检测 引擎 ) 也 比较 复杂 ,需要 考虑 多 种 不 同 的 特征 规 
则 。 这 种 实现 方式 具有 非常 好 的 扩充 性 ,便于 逐渐 丰富 系统 预知 特征 规则 。 几 乎 所 有 产品 
化 的 入侵 检测 系统 都 采用 这 种 方式 实现 人 侵 检测 算法 。 


7.4.4 系统 预知 特征 的 获取 方式 


在 入 侵 检 测算 法 的 运行 过 程 中 ,系统 预知 特征 起 到 比较 关键 的 作用 ,如 果 没 有 系统 预知 
特征 或 者 系统 预知 特征 不 够 全 面 , 就 会 产生 大 量 的 检测 错误 ,将 正常 行为 误 判 为 人 侵 或 者 漏 
检 实 际 的 入侵。 在 入 侵 检测 系统 中 有 两 种 主要 的 方法 来 获得 系统 预知 特征 : 

。 程序 自动 学 习 ” 即 编写 相应 程序 以 自动 化 的 方式 获取 系统 预知 特征 。 基 于 系统 调 
用 序列 的 服务 器 异常 检测 就 是 采用 程序 自动 学 习 的 方式 获取 正常 运行 模式 , 即 获得 
服务 器 正常 运行 下 的 系统 调用 情况 ,进而 分 析出 体现 服务 器 正常 运行 的 特征 短 序 
列 , 即 所 谓 的 正常 模式 。 这 个 学 习 过 程 在 入 侵 检测 系统 中 通常 称 为 训练 过 程 ,训练 
的 成 果 ( 即 所 预知 的 系统 运行 特征 ) 保 存 到 相应 的 特征 库 中 , 供 入 侵 检 测 系统 在 检测 
阶段 判断 系统 是 否 受到 入 侵 时 使 用 。 

人 工 获取 ” 即 由 入 侵 检 测 系统 的 设计 者 或 维护 者 收集 系统 运行 特征 ,对 异常 检测 技 
术 而 言 是 收集 系统 正常 运行 特征 ,对 误 用 检测 技术 而 言 是 收集 系统 在 各 种 攻击 下 的 
行为 特征 ,然后 将 这 些 预 知 特征 直接 编写 进 相 应 的 检测 算法 或 者 保存 在 特征 库 中 ， 
供 入 侵 检 测 引 擎 在 检测 入 侵 时 读 取 和 使 用 。 人 工 获取 方式 相当 于 用 户 ( 或 信息 安全 
专家 ) 依 据 自 己 的 知识 提取 相应 的 系统 运行 特征 , 交 给 入 侵 检 测 系统 完成 攻击 检测 。 

随 着 系统 功能 的 变化 以 及 新 型 攻击 方式 的 出 现 ,原先 收集 的 系统 预知 特征 可 能 需要 扩 
充 , 这 就 是 特征 库 的 升级 或 入 侵 检 测 系统 的 再 学 习 。 理 想 的 青学 习 过 程 是 在 实施 入 侵 检 测 
的 过 程 中 自动 实现 学 习 和 特征 库 更 新 ,但 自动 学 习 所 面临 的 一 个 问题 是 可 能 被 攻击 者 利用 ， 
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即 通过 渐变 式 的 异常 行为 让 入 侵 检测 系统 逐步 适应 ,从 而 使 自己 的 攻击 逃 过 入 侵 检 测 系 统 
的 检测 ,造成 人 侵 漏 报 。 


7.4.5 ”入侵 检 测 系统 的 实现 结构 


根据 上 面 讨论 的 要 素 ,包括 入 侵 检 测算 法 实现 方式 和 预知 特征 的 获取 方式 ,入 侵 检 测 系 
统一 般 可 分 成 四 种 典型 的 实现 结构 。 

最 简单 的 人 侵 检 测 系统 的 结构 如 图 7-1 所 示 , 由 入 侵 检测 系统 的 设计 者 根据 自己 对 外 
界 攻 击 的 特征 认识 (如 连续 向 内 网 主机 的 多 个 不 同 端口 发 送 连接 请 求 报 文 即 为 端口 扫描 攻 
击 等 ) ,实现 体现 这 种 特征 的 检测 算法 。 在 信息 探测 器 获得 系统 当前 运行 特征 后 ,入 侵 检测 
系统 根据 当前 运行 特征 执行 人 侵 检测 算法 ,然后 根据 检测 结果 进行 攻击 响应 。 在 这 种 结构 
下 ,入 侵 检 测 系统 具有 非常 大 的 局 限 性 ,通常 只 能 用 于 有 限 几 种 攻击 方式 的 检测 。 但 这 种 入 
侵 检测 系统 结构 简单 ,实现 方便 。 


用 户 ( 安全 专家 ) 


待 检 测 的 信息 “| 当前 运行 特征 
目标 系统 探测 器 


图 7-1 入 侵 检测 系统 典型 结构 一 


入侵 判决 
Li 


人 侵 检测 算法 


图 7-2 所 示 入 侵 检测 系统 的 结构 中 ,系统 预知 特征 从 入 侵 检 测算 法 中 独立 出 来 ,形成 一 
个 可 以 动态 扩充 的 预知 特征 库 , 入 侵 检测 算法 的 执行 实体 独立 成 为 一 个 人 侵 检 测 引擎 。 实 
现 该 类 入 侵 检 测 系统 结构 的 关键 在 于 需要 将 系统 运行 特征 (正常 运行 特征 或 受 攻击 时 的 运 
行 特征 ) 进 行 抽象 ,形成 形式 化 表示 的 规则 或 模式 ,保存 在 预知 特征 库 中 。 目 前 很 多 产品 化 
的 入侵 检测 系统 都 采用 了 这 种 结构 。 


几 户 (安全 专家 ) - - 预知 特征 库 


待 检测 的 _。| 信息 | 当前 运行 特征 
是 标 系统 “| 探 训 器 | “| 


入 侵 判决 


攻击 
响应 


入 侵 愉 测 引擎 


图 7-2 入侵 检 测 系统 典型 结构 二 


在 图 7-3 所 示 的 入 侵 检 测 系 统 结 构 中 .预知 特征 库 不 是 入 侵 检测 系统 设计 者 依据 自己 
的 知识 总 结 出 系统 特征 行为 直接 构造 出 来 的 ,而 是 通过 自动 学 习 建立 起 来 的 , 即 运行 实际 的 
目标 系统 ,通过 信息 探测 器 获得 系统 运行 状况 ,然后 由 学 习 算 法 提取 系统 特征 ,并 将 提取 出 
的 特征 放 入 预知 特征 库 。 采 用 这 种 结构 实现 的 入 侵 检 测 系统 一 般 采 用 异常 检测 技术 , 即 采 
用 学 习 算法 观察 和 提取 系统 在 正常 情况 下 的 运行 特征 ,并 以 正常 运行 特征 为 基础 实现 人 侵 
检测 。 由 于 误 用 检测 技术 所 预知 的 是 攻击 行为 特征 ,目前 通过 学 习 算法 自动 化 地 形成 攻击 
行为 特征 还 缺乏 成 熟 的 技术 。 

由 于 学 习 代价 等 方面 的 原因 ,预先 进行 的 系统 特征 学 习 可 能 并 不 能 充分 覆盖 系统 运行 
的 所 有 情况 和 特征 ,如 果 能 够 在 人 侵 检 测 阶 段 自 动 进行 扩充 式 学 习 则 能 解决 这 方面 不 足 。 
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| 


待 检测 的 __ | 
日 标 系统 


图 7-3 入 侵 检 测 系统 典型 结构 三 


图 7-4 所 示 的 入 侵 检 测 系统 除 在 训练 阶段 形成 预知 特征 库 外 ,还 在 检测 阶段 对 预知 特征 库 
进行 扩充 ,即将 与 原 有 的 正常 运行 特征 有 少许 偏差 ,但 还 没有 偏差 到 被 认定 为 入 侵 的 那些 系 
统 特征 行为 也 看 成 是 正常 的 系统 行为 ,将 其 扩充 到 预知 特征 库 中 。 目 前 采用 这 种 扩充 式 学 
习 方 式 的 入 侵 检测 系统 基本 上 还 处 于 研究 阶段 ,还 没有 看 到 有 成 熟 的 入 侵 检 测 产 品 。 


正常 的 目 _。| 信息 
标 系统 ”| 探测 器 


待 检测 的 “| 信息 | 当前 运行 特征 
日 标 系统 “| 探测 器 


响应 


图 7-4 入 侵 检 测 系统 典型 结构 四 


7.4.6 网 络 入 侵 检测 系统 的 接 入 方式 


和信 侵 检测 系统 实现 攻击 检测 的 前 提 条 件 是 能 够 收集 到 相关 的 系统 运行 信息 ,具体 到 网 
络 人 侵 检 测 系统 而 言 就 是 如 何 获得 网 络 的 协议 报 文 , 通 常 是 IP 数据 包 。 在 不 同 网 络 体系 结 
构 中 ,网 络 人 侵 检测 系统 用 于 获得 网 络 IP 数据 包 的 探测 器 部 署 位 置 和 和 运行 方式 存在 明显 的 
不 同 , 这 其 中 的 关键 在 于 探测 器 以 何 种 方式 接 入 到 网 络 运行 体系 中 。 常 见 的 接 入 方式 主要 
有 如 下 三 种 。 

。 网 关 接 入 。 如 果 在 网 络 运 行 体系 结构 中 能 够 找到 一 个 所 有 (或 希望 获得 的 ) 网 络 数 
据 包 的 必 经 之 处 ,在 此 放置 入 侵 检 测 系统 的 探测 器 就 能 获得 网 络 中 的 网 络 数据 包 。 
连接 内 部 网 络 和 外 部 网 络 的 网 关 ( 或 路 由 器 ) 是 最 容易 想到 的 位 置 ,在 网 关 IP 协议 
层 植 人 探测 器 能 有 效 获得 途经 的 网 络 数据 包 。 

这 种 接 人 方式 的 明显 缺点 在 于 ,所 获取 的 网 络 数据 包 仅 限 于 外 部 网 络 发 至 内 部 
网 络 或 内 部 网 络 发 至 外 部 网 络 的 网 络 数据 包 ,不 能 获得 只 在 局 域 网 内 传递 的 网 络 数 
据 包 。 如 果 局 域 网 内 的 用 户 对 本 局 域 网 内 的 其 他 主机 发 起 攻击 ,相应 的 攻击 数据 包 
不 经 过 网 关 的 IP 协议 层 , 因 而 基于 这 种 数据 包 获 取 方式 的 入 侵 检测 系统 将 会 漏 检 
这 类 网 络 攻击 ,如 可 检测 出 从 外 网 对 内 网 主机 发 起 的 端口 扫描 攻击 ,而 不 能 检测 出 
内 网 用 户 对 内 网 其 他 主机 的 端口 扫描 行为 。 另 外 ,在 网 关 IP 协议 层 获 得 入侵 检测 
系统 所 需 的 数据 包 , 还 可 能 会 影响 到 网 关 的 运行 效率 ,网 关 作为 连接 外 部 网 络 的 瓶 
颈 , 其 运行 效率 的 下 降 会 影响 到 网 络 系统 的 性 能 。 
嗅 探 接 入 。 即 在 所 要 保护 的 局 域 网 中 某 台 主机 上 设置 一 个 网 络 嗅 探 器 ,让 该 主机 的 
网 卡 工作 在 混杂 模式 下 。 在 这 种 模式 下 该 主机 的 网 卡 会 接收 局 域 网 内 所 有 的 IP 数 
据 包 ,不 管 数据 包 的 目标 IP 地 址 是 否 为 本 主机 的 IP 地 址 。 在 编程 实现 这 种 接 入 模 
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式 时 ,可 借助 一 些 函 数 工 具 库 ( 如 Libpcap 库 ) 实 现 对 网 卡 模式 的 设置 以 及 获得 相应 
的 网 络 数据 包 , 具 体 编程 实现 方式 在 第 16、17 章 的 开发 实践 中 详细 阐述 。 

嗅 探 接 和 人 是 网 络 人 侵 检测 系统 最 常 采用 的 接 人 方式 ,其 明显 的 优点 在 于 : 可 在 
单独 一 台 主 机 上 实现 ,甚至 在 一 些 嵌 入 式 设 备 中 实现 ,只 要 该 主机 (或 该 设备 ) 通 过 
网 线 连 入 所 要 检测 保护 的 网 络 中 即 可 ,因而 这 种 接 入 方式 不 影响 原 有 的 网 络 结构 ， 
也 不 像 网 关 接 入 方式 那样 会 影响 到 网 络 的 性 能 。 

嗅 探 接 入 方式 的 采用 受 限于 特定 的 网 络 体系 结构 ,只 对 广播 式 的 网 络 结构 是 有 
效 的 ,如 在 用 集线器 ( 即 HUB) 连 接 而 成 的 以 太 网 中 就 能 采用 这 种 方式 实现 网 络 人 
侵 检测 系统 的 网 络 数据 包 采 集 ,因为 在 这 种 组 网 方式 下 集线器 从 一 物理 端口 收 到 的 
数据 帧 会 广播 至 所 有 的 物理 端口 ,换言之 ,网 络 中 每 个 网 络 数据 帧 将 广播 到 所 有 的 
网 络 终端 。 

交换 式 局 域 网 中 不 能 采用 嗅 探 接 人 方式 实现 网 络 人 侵 检 测 系统 的 数据 包 收 集 ， 
因为 运行 网 络 入 侵 检测 系统 的 主机 (下 称 宿主 机 ) 接 入 到 交换 机 (或 路 由 器 ) 的 某 个 
端口 (本 小 节 中 所 谓 的 端口 指 物理 接口 ,不 同 于 TCP 和 UDP 协议 中 的 端口 ) ,交换 
机 从 一 个 端口 收 到 数据 帧 后 ,会 按 帧 头 中 目标 地 址 转发 到 对 应 的 端口 ,而 不 会 广播 
到 所 有 的 端口 。 因 而 即使 宿主 机 的 网 卡 工 作 在 混杂 模式 ,网 络 入 侵 检测 系统 也 只 能 
获取 发 往 宿主 机 的 网 络 数据 包 , 检 测 出 对 宿主 机 的 攻击 ,而 不 能 实现 对 整个 网 络 的 
攻击 检测 保护 。 
镜像 端口 接 入 。 网 络 数据 包 监 控 是 网 络 管理 中 需要 重点 实现 的 功能 之 一 ,为 此 网 络 
设备 厂商 从 设备 层面 提供 了 很 好 的 支持 ,这 就 是 交换 机 (或 路 由 器 ) 的 镜像 端口 ,也 
称 为 监听 端口 。 目 前 很 多 的 中 高 档 交换 机 (或 路 由 器 ) 都 支持 镜像 端口 ,镜像 端口 视 
具体 交换 机 不 同 可 能 是 某 一 固定 的 物理 端口 ,也 可 以 是 临时 配置 出 的 一 个 物理 端 
口 ,交换 机 会 将 所 有 端口 (或 指定 端口 ) 的 流量 复制 一 份 到 该 端口 ,运行 网 络 入 侵 检 
测 系统 的 宿主 机 连接 到 交换 机 的 镜像 端口 就 能 获得 网 络 中 的 所 有 数据 包 ( 或 指定 端 
口 的 数据 包 ) 。 需 要 注意 的 是 ,宿主 机 网 卡 同样 需要 工作 在 混杂 模式 ,否则 即使 所 有 
的 网 络 数据 包 都 发 往 宿主 机 ,网 卡 也 会 过 滤 掉 目标 地 址 不 是 本 机 的 数据 包 , 运 行 在 
其 上 的 网 络 人 侵 检 测 系统 同样 只 能 获取 发 往 宿主 机 的 网 络 数据 包 ,而 不 能 实现 对 整 
个 网 络 的 攻击 检测 保护 。 不 少 成 熟 的 网 络 安全 产品 通过 这 种 方式 实现 对 网 络 运行 
状态 的 监视 以 及 相应 的 攻击 检测 。 

另外 ,实际 网 络 人 侵 检测 系统 还 可 能 采用 分 布 式 接 人 方式 , 即 在 网 络 中 的 多 个 位 置 设 置 
数据 包 探测 器 。 这 种 网 络 入 侵 检 测 系统 通常 结构 比较 复杂 ,甚至 与 其 他 网 络 安全 软件 (如 网 
络 防 火 墙 ) 或 网 络 管理 系统 集成 在 一 起 实现 ,该 方式 一 般 用 于 大 型 网 络 入 侵 检 测 系 统 ,这 里 
不 再 详 述 。 


7.5 网 络 人 侵 检测 系统 实例 及 实现 解析 


本 书 的 第 16、17 章 将 详细 阑 述 两 个 网 络 人 侵 检测 系统 (基于 特征 串 匹配 的 网 络 攻击 检 
测 系统 和 针对 端口 扫描 的 攻击 检测 系统 ) 的 开发 实践 过 程 , 本 节 先 对 这 两 个 实例 系统 进行 实 
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现 解析 。 
7.5.1 基于 特征 串 匹 配 的 网 络 攻击 检测 解析 
基于 特征 串 攻 击 是 黑客 经 常 采用 的 一 种 网 络 攻击 方式 ,通过 在 网 络 数据 流 中 检查 已 知 


的 攻 了 
为 攻 吉 


6 特征 串 能 够 有 效 发 现 这 一 类 型 的 网 络 攻 击 。 在 入 侵 检 测 系 统 中 ,攻击 特征 串 常 被 称 
模式 ,基于 特征 串 匹 配 的 网 络 攻击 检测 通常 又 称 为 基于 模式 匹配 的 网 络 攻击 检测 。 


如 果 在 所 有 的 检测 过 程 中 ,都 没有 在 网 络 数据 流 中 发 现 与 特征 库 中 特征 串 匹配 的 内 容 ， 
表明 系统 没有 受到 攻击 。 如 果 发 现 了 某 个 网 络 数据 包 中 的 内 容 与 特征 库 中 的 某 特征 串 相 匹 


配 , 表 


明 检 测 到 了 攻击 ,从 特征 库 中 查询 到 对 应 该 特征 串 的 攻击 类 型 ,然后 按照 预定 方式 进 


行 响应 处 理 , 如 发 送 警告 等 。 

作为 一 个 实际 的 入侵 检测 系统 ,还 涉及 到 检测 效率 等 多 种 因素 ,因此 要 设计 和 实现 一 个 
实际 的 基于 特征 串 匹 配 的 攻击 检测 系统 ,还 需要 考虑 以 下 几 个 方面 。 

。 特征 库 的 维护 。 基 于 特征 串 匹 配 的 攻击 检测 系统 以 预知 的 攻击 特征 串 为 依据 ,来 判 


断 系统 是 否 受到 攻击 ,因而 特征 库 中 的 特征 串 非常 关键 ,其 在 很 大 程度 上 直接 决定 
和 人 侵 检 测 系统 的 检测 性 能 。 一 个 好 的 特征 库 ,首先 其 包含 的 攻击 特征 串 应 比较 全 
面 , 能 覆盖 尽 可 能 多 的 攻击 类 型 ,另外 所 包含 的 攻击 特征 串 应 比较 准确 ,的 确 能 够 体 
现 相应 攻击 类 型 的 数据 交互 特征 ,以 尽 可 能 地 避免 入 侵 漏 报 和 入 侵 误 报 。 

网 络 数 据 包 的 获取 。 基 于 特征 串 匹 配 的 攻击 检测 系统 ,其 执行 基础 是 首先 获得 待 检 
测 的 网 络 数据 流 , 或 者 说 要 获得 一 个 个 的 网 络 数据 包 。 由 于 该 种 类 型 的 入侵 检测 系 
统 通常 要 对 整个 网 络 实现 安全 保护 和 攻击 检测 ,而 不 仅仅 对 本 主机 ( 即 运行 该 人 侵 
检测 系统 的 计算 机 ) 实 现 安全 保护 和 攻击 检测 ,因此 对 目标 IP 地 址 不 是 本 主机 IP 
地 址 的 网 络 数据 包 也 要 截取 ,并 进行 相应 的 特征 串 匹 配 。 获 取 这 些 数据 包 的 常用 方 
法 是 让 网 卡 工 作 在 混杂 模式 ,以 抓 取 所 有 的 网 络 数据 包 。 在 进行 这 类 入 侵 检 测 系统 
开发 时 ,可 以 借助 第 三 方 的 函数 工具 库 ( 如 Libpcap 等 ) ,实现 网 络 报 文 的 抓 取 。 

高 效 的 特征 串 匹 配 算法 。 如 果 特 征 库 中 存在 较 多 的 攻击 特征 串 ( 实 际 的 入 侵 检测 系 
统 显然 会 包含 数 百 、 其 至 更 多 的 攻击 串 ) ,用 这 些 攻击 特征 串 去 一 一 匹配 每 个 网 络 数 
据 包 的 内 容 ,支撑 该 匹配 所 需 的 计算 量 非常 惊人 ,对 一 个 满 负荷 的 100 兆 以 太 网 而 
言 , 所 需 的 计算 量 可 能 是 每 秒 高 达 数 百 亿 次 。 因 此 引入 一 个 高 效 的 特征 串 匹 配 算法 
非常 必要 。 另 外 一 些 改进 的 特征 串 匹 配 算法 会 按照 不 同 协议 类 型 进行 针对 性 的 特 
征 串 匹 配 , 如 果 一 个 特征 串 攻击 只 会 出 现在 某 网 络 协议 中 ,那么 在 检查 其 他 网 络 协 
议 报 文 的 内 容 时 就 可 以 排除 该 特征 串 , 从 而 提高 匹配 效率 。 

反 逃 避 能 力 。 基 于 特征 串 匹配 的 攻击 检测 系统 会 严格 按照 攻击 特征 串 来 检测 网 络 
攻击 ,如 果 攻 击 者 对 攻击 特征 串 进行 不 影响 攻击 效果 的 微小 变形 ,或 进行 一 定 的 技 
术 性 处 理 , 就 可 能 躲 过 这 类 入 侵 检测 系统 的 检测 , 即 实现 检测 逃避 。 如 攻击 者 将 一 
个 攻击 特征 串 封装 在 多 个 极 短 的 网 络 报 文 中 ,如 果 入 侵 检测 系统 不 进行 报 文 内 容重 
组 ,单独 检测 单个 数据 包 中 是 否 包 含 攻击 特征 串 , 就 可 能 漏 检 该 攻击 。 基 于 特征 串 
匹配 的 网 络 攻击 检测 系统 在 设计 时 ,要 充分 考虑 对 一 些 攻击 或 入侵 的 反 逃 避 能 力 。 


本 书 的 第 二 部 分 “开发 实践 篇 ?将 会 详细 介绍 基于 特征 串 匹配 的 网 络 攻击 检测 系统 的 具 
体 开发 和 实现 过 程 。 
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7.5.2 针对 端口 扫描 的 攻击 检测 系统 解析 


本 书 的 第 6 章 对 用 作 系 统 脆弱 性 检测 的 端口 扫描 技术 进行 了 详细 的 介绍 。 事 实 上 端口 
扫描 作为 一 种 技术 手段 ,可 以 被 网 络 或 系统 管理 员 用 于 发 现 系统 或 内 部 网 络 中 开放 的 所 有 
服务 端口 ,并 进一步 确定 和 关闭 无 意 打开 的 服务 端口 和 没 必 要 开放 的 服务 端口 ,从 而 降低 系 
统 遭 受 外 界 人 侵 的 风险 。 同 样 ,端口 扫描 也 可 以 被 黑客 或 攻击 者 用 于 发 现 攻击 目标 主机 或 
目标 网 络 中 所 开放 的 服务 端口 ,并 针对 所 发 现 的 开放 服务 端口 进行 网 络 攻击 。 
端口 扫描 技术 的 基本 原理 可 大 致 概括 为 : 向 被 扫描 目标 主机 (或 被 扫描 网 络 的 多 个 主 
机 ) 的 多 个 端口 发 送 探测 性 的 报 文 ,然后 根据 对 方 主机 是 否 响应 报 文 以 及 响应 何 种 特征 的 报 
文 来 断定 每 个 端口 的 打开 情况 。 目 前 流行 的 端口 扫描 技术 包括 全 连接 端口 扫描 、 半 连接 端 
口 扫 描 、 结 束 连 接 端 口 扫描 ,以 及 UDP 端口 扫描 ,这 些 端口 扫描 技术 的 基本 原理 和 方法 可 
参见 本 书 的 第 6 章 。 不 同 的 端口 扫描 技术 所 发 送 的 探测 性 报 文 也 有 所 不 同 。 
。 全 连接 端口 扫描 和 半 连 接 端 口 扫描 以 带 SYN 标志 的 TCP 报 文 作为 探测 报 文 。 
。 结束 连接 端口 扫描 以 带 FIN 标志 的 TCP 报 文 作为 探测 报 文 。 
。 UDP 端口 扫描 以 普通 的 UDP 报 文 作为 探测 报 文 。 
要 检测 网 络 (或 网 络 内 的 主机 ) 是 否 受到 了 端口 扫描 ,首先 要 分 析 网 络 中 是 否 存在 探测 
性 报 文 。 由 于 网 络 中 会 存在 一 些 正常 的 网 络 应 用 ,这 些 网 络 应 用 也 会 发 送 SYN 报 文 .FIN 
报 文 等 ,因而 在 网 络 中 检测 到 这 类 报 文 并 不 意味 着 网 络 受 到 了 扫描 攻击 。 
仅 通 过 检测 单个 报 文 很 难 断 定 网 络 是 否 受到 端口 扫描 ,需要 从 所 检测 到 这 类 报 文 的 数 
量 以 及 报 文 之 间 的 联系 来 判断 是 否 受到 端口 扫描 。 根 据 经 验 ,用 于 端口 扫描 的 SYN 报 文 、 
FIN 报 文 .UDP 报 文 与 用 于 正常 网 络 通信 的 SYN 报 文 .FIN 报 文 .UDP 报 文 的 明显 区 别 
在 于 : 
。 通常 前 者 发 送 的 频率 比较 高 ,会 在 短 时 间 内 检测 到 大 量 的 这 类 报 文 ,对 后 者 而 言 , 除 
非 网 络 中 存在 大 规模 的 网 络 应 用 ,一 般 网 络 中 出 现 这 类 报 文 的 频率 不 高 。 

。 前 者 发 往 的 目标 端口 比较 分 散 ,或 涵盖 了 一 大 段 连 续 的 端口 范围 ,而 后 者 发 往 的 目 
标 端口 比较 集中 ,通常 仅 限 于 几 个 知名 的 服务 端口 ,如 23、25、80 等 。 

。 前 者 的 源 IP 地 址 大 都 是 同一 主机 IP 地 址 ,或 一 个 局 域 网 中 有 限 的 几 个 主机 IP 地 
址 ,而 后 者 的 源 IP 地 址 比较 分 散 , 无 明显 的 规律 性 。 

如 果 在 局 域 网 中 短 时 间 内 检测 到 大 量 来 自 于 同一 IP 地 址 (或 同一 网 段 IP 地 址 ), 且 目 
标 端 口 分 布 比较 广泛 的 SYN 报 文 .FIN 报 文 或 UDP 报 文 ,基本 上 可 以 确定 局 域 网 或 局 域 
网 中 的 某 主 机 受到 了 端口 扫描 。 车 用 计算 机 程序 完成 这 一 判断 过 程 ,再 加 上 一 定 的 入 侵 告 
警 措施 ,就 能 实现 一 个 简单 的 针对 端口 扫描 的 攻击 检测 系统 。 


7.6 本 章 小 结 


入 侵 检测 技术 是 一 种 主动 安全 防御 技术 ,通过 从 计算 机 系统 或 网 络 中 收集 相关 信息 并 
对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 ,以 及 是 否 受到 攻击 。 入 
侵 检 测 系统 是 保障 网 络 信息 安全 的 重要 一 环 , 在 企 事 业 单位 的 网 络 中 可 以 和 网 络 防火 墙 一 
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起 配置 ,协同 工作 ,共同 保证 网 络 的 安全 。 

本 章 首先 阐述 了 入 侵 检测 的 基本 概念 、 两 种 主要 的 人 侵 检测 技术 ( 误 用 检测 和 异常 检 
测 ) ,以 及 两 种 类 型 的 入 侵 检测 系统 (主机 入 侵 检测 系统 和 网 络 入侵 检 测 系统 ) 。 其 次 从 设计 
和 实现 角度 对 入 侵 检测 系统 的 关键 技术 进行 了 解析 ,并 分 析 了 网 络 入 侵 检 测 系统 如 何 接 入 
到 网 络 中 。 

在 本 章 原理 和 实现 技术 解析 的 基础 上 ,本 书 设计 了 两 个 人 侵 检测 系统 原型 的 开发 实践 ， 
即 基于 特征 串 匹配 的 网 络 攻 击 检测 系统 和 针对 端口 扫描 的 网 络 攻击 检测 系统 。 这 两 个 原型 
系统 的 具体 开发 实践 过 程 将 在 第 16、17 章 详 细 介绍 。 


习 题 


. 解释 判断 入 侵 检测 系统 优 劣 的 两 个 指标 : 漏 报 率 和 误 报 率 。 
. 简 述 入 侵 检测 系统 检测 攻击 行为 的 基本 工作 流程 。 
. 简 述 误 用 检测 的 技术 思路 。 
. 简 述 异常 检测 的 技术 思路 。 
.对 比 异 常 检测 技术 和 误 用 检测 技术 ,它们 各 具有 怎样 的 优 缺 点 ? 
. 主机 入 侵 检测 系统 和 网 络 人 侵 检测 系统 相 比 , 二 者 各 有 怎样 的 优 缺 点 ? 
. 简 述 入 侵 检 测算 法 的 两 种 实现 方式 。 
. 简 述 入 侵 检测 系统 的 工作 原理 。 
. 简 述 网 络 入 侵 检测 系统 的 三 种 接 入 方式 以 及 实现 要 点 。 
10. 对 比 网 关 接 人 和 嗅 探 接 和 人 的 优 缺点 。 
11. 什么 是 交换 机 的 镜像 端口 ,以 及 镜像 端口 有 哪些 用 途 ? 
12. 实现 一 个 好 的 基于 特征 串 匹 配 的 攻击 检测 系统 需要 重点 考虑 哪些 方面 ? 
13. 系统 预知 特征 是 实施 人 侵 检测 的 基础 ,对 实际 的 入 侵 检测 系统 而 言 有 哪些 方法 可 
以 获得 系统 的 预知 特征 ? 
14. 入 侵 检测 系统 检测 到 SYN 报 文 后 ,可 从 哪些 方面 判定 该 SYN 报 文 是 用 于 端口 扫 
描 攻 击 ,还 是 用 于 正常 的 网 络 应 用 ? 


oo 中 四 


下 篇 ”开发 实践 篇 


篇 在 “技术 解析 篇 ”基础 上 ,阐述 如 何 实现 信息 安全 技术 和 原型 系统 的 开 
a 本 篇 共 包 含 十 章 , 每 章 阐述 一 个 独立 的 安全 开发 实践 ,这 些 开 发 实践 
分 别 对 应 “技术 解析 篇 ”中 四 类 信息 安全 技术 。 
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第 8 音 ， 基于 LSM 的 文件 访问 控制 
原型 实现 


本 章 主 要 阐述 如 何 基于 Linux 的 LSM 机 制 实现 一 种 新 的 文件 访问 控制 机 制 。 下 面 首 
先 介绍 该 访问 控制 原型 系统 的 总 体 设计 ,然后 介绍 该 原型 系统 的 源 代码 实现 过 程 ,最 后 介绍 
该 原型 系统 的 测试 过 程 ,以 及 下 一 步 的 开发 实践 。 


8.1 原型 系统 的 总 体 设 计 


在 安全 系统 的 访问 控制 中 ,采用 何 种 访问 控制 规则 (或 策略 ) 是 一 个 比较 关键 的 问题 ,这 
在 很 大 程度 上 决定 了 系统 的 安全 防护 效果 。 本 章 的 目的 在 于 用 实例 的 方式 展现 如 何在 
Linux 系统 中 实现 一 种 新 的 访问 控制 机 制 ,而 不 是 在 于 实现 复杂 的 访问 控制 规则 。 因 此 原 
型 系统 拟 实 现 的 访问 控制 规则 比较 简单 , 仅 为 设置 一 个 目录 (或 文件 ) ,在 任何 情况 下 都 不 能 
删除 该 目录 及 该 目录 下 的 文件 。 在 实际 的 安全 应 用 中 ,这 样 的 访问 控制 规则 具有 明确 的 意 
义 , 可 以 保护 系统 中 的 重要 文件 不 被 无 意 或 恶意 的 删除 。 在 一 些 特定 的 应 用 环境 下 ,防止 重 
要 文件 被 删除 具有 重要 的 安全 作用 。 

本 章 的 原型 系统 分 为 两 个 部 分 独立 实现 ,一 部 分 是 运行 在 应 用 层 的 配置 程序 ,用 来 设置 
对 哪个 目录 采取 安全 保护 , 另 一 部 分 是 完成 访问 控制 的 Linux 内 核 模块 ,该 模块 借助 注册 
LSM 钩子 函 数 的 方式 来 实现 对 文件 访问 的 控制 。 配 置 程序 和 内 核 模块 之 间 采 用 注册 设备 
文件 结 点 的 方式 来 完成 控制 信息 ( 即 对 哪个 目录 的 删除 进行 控制 ) 的 传递 。 原 型 系统 的 总 体 
实现 结构 如 图 8-1 所 示 。 
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内 核 模块 


图 8-1 基于 LSM 的 文件 访问 控制 原型 系统 的 总 体 结构 


配置 程序 主要 给 用 户 提供 输入 界面 ,可 以 自己 设置 需要 对 哪个 目录 或 文件 进行 禁止 删 
除 保护 ,具体 来 讲 该 程序 完成 两 个 方面 的 工作 : 从 程序 的 输入 参数 中 解析 出 需要 对 哪个 
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目录 下 的 文件 进行 禁止 删除 控制 ; @ 创 建 一 个 新 的 设备 文件 ,通过 写 该 设备 文件 将 用 户 的 
配置 信息 ( 即 要 禁止 删除 的 目录 或 文件 名 称 ) 传 递 到 Linux 内 核 中 。 配 置 程序 通过 命令 行 参 
数 来 输入 要 禁止 删除 的 目录 或 文件 名 ,如 :其 中 filecontrol 为 配置 程序 的 可 执行 文件 名 ) 
filecontrol /root/test # 表 示 禁 止 删除 /root/test 目录 以 及 其 下 的 所 有 文件 
filecontrol # 参 数 为 空 表 示 取 消 原来 的 设置 , 即 关 闭 禁止 删除 的 功能 
内 核 模 块 部 分 主要 实现 对 所 保护 目录 (或 文件 ) 的 禁止 删除 功能 ,具体 包括 以 下 四 方面 。 
。 新 设备 文件 的 驱动 。 引 入 新 设备 文件 的 目的 主要 是 完成 应 用 程序 向 内 核 模 块 发 送 
禁止 删除 的 目录 名 称 ,因此 只 需 重点 实现 该 设备 文件 的 写 操作 函数 即 可 。 该 写 操作 
函数 的 主要 功能 是 接收 配置 程序 写 和 人 的 控制 信息 ( 即 禁 止 删除 的 目录 或 文件 名 ) , 然 
后 将 该 内 容 保存 在 保护 目录 变量 中 。 
一 组 访问 控制 函数 。 由 于 本 原型 系统 实现 中 只 对 删除 目录 或 文件 的 操作 进行 控制 ， 
因此 只 需 实现 两 个 相应 的 访问 控制 函数 即 可 ,一 个 用 于 控制 目录 的 删除 , 另 一 个 用 
于 控制 文件 的 删除 。 这 两 个 函数 的 功能 是 根据 传人 的 参数 信息 ,解析 出 哪个 目录 
(或 文件 ) 将 要 被 删除 ,然后 与 保护 目录 变量 中 的 内 容 进行 比 对 ,如 是 要 禁止 删除 的 
目录 (或 文件 ), 则 函数 返回 1, 即 告诉 LSM 框架 不 要 删除 该 目录 ,和 否则 返回 0, 告 诉 
LSM 框架 仍 按 既 定 的 方式 处 理 , 这 时 候 该 目录 或 文件 是 否 真正 删除 取决 于 其 他 方 
面 的 因素 。 
内 核 模块 的 初始 化 函数 。 该 函数 在 模块 加 载 时 会 被 Linux 自动 调用 ,主要 完成 两 方 
面 的 初始 化 工作 。 一 是 注册 新 设备 文件 的 驱动 程序 ,由 于 只 是 借助 于 新 设备 文件 获 
得 配置 程序 通过 写 文件 操作 传递 到 内 核 的 保护 目录 (或 文件 ) 名 称 , 因 此 只 需 实现 设 
备 驱 动 中 的 写 文件 操作 函数 即 可 。 二 是 将 预先 设计 好 的 相关 控制 函数 注册 到 LSM 
框架 中 ,如 前 一 段 所 述 ,由 于 本 原型 系统 只 限制 指定 目录 或 文件 的 删除 ,因此 只 需 将 
上 面 设计 好 的 两 个 访问 控制 函数 注册 到 相应 的 两 个 钩子 点 即 可 。 注 册 完 成 以 后 , 当 
系统 中 要 执行 目录 (或 文件 ) 的 删除 操作 时 ,LSM 框架 会 自动 调用 所 注册 的 访问 控 
制 函 数 。 
内 核 模块 的 注销 函数 。 该 函数 在 模块 卸载 时 被 Linux 内 核 自 动 调用 ,主要 完成 设备 
文件 驱动 的 卸载 ,以 及 从 LSM 框架 中 注销 所 注册 的 钩子 函数 ,注销 后 当 发 生 目 录 或 
文件 删除 操作 时 ,LSM 框架 就 不 再 调用 上 面 的 访问 控制 函数 。 


8.2 配置 程序 的 实现 


8.2.1 程序 用 到 的 库 函 数 


为 便于 理解 下 面 的 源码 实现 ,这 里 先 将 源码 中 用 到 的 主要 库 函 数 进行 简单 的 介绍 。 

。 int system(const char * string); ”该 函数 功能 是 执行 string 表示 的 shell 命令 。 
实现 原理 为 : system 调用 fork 产生 子 进程 ,由 子 进程 调用 /bin/sh string( 假 定 对 应 
的 shell 为 /bin/sh) 来 执行 参数 string 字符 串 所 代表 的 shell 命令 ,此 命令 执行 完 后 
随即 返回 原 调 用 的 进程 。 下 面 的 开发 实践 用 该 函数 执行 创建 设备 文件 的 shell 命 
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今 , 即 mknod。 
int stat (const char * pathname，struct stat x* buf); 该 函数 用 于 读 取 文件 
pathname 的 文件 属性 信息 ,如 文件 类 型 ,inode 结 点 号 .文件 所 有 者 等 。 该 函数 执行 
成 功 后 ,相应 的 文件 信息 保存 在 参数 buf 指向 的 stat 结构 体 中 。 下 面 的 开发 实践 不 
是 利用 该 函数 获得 文件 的 信息 ,而 是 间接 测试 用 于 配置 信息 传递 的 设备 文件 和 要 删 
除 保护 的 目录 是 否 存在 。 

此 外 ,下 面 的 源 代码 中 用 到 的 一 些 函 数 , 如 strlen()、strcpy()、write() 等 ,读者 都 比较 
熟悉 ,这 里 不 再 歼 述 。 


8.2.2 源码 与 注释 


# include < sys/types.h> 
# include < sys/stat.h> 
# include < stdio.h> 

# include < fcnt1.h> 

# include <unistd.h> 

# include < string.h> 

# include < stdlib.h> 


int main(int argc, char * argv[]){ 


char filename[ 256]; // 禁 止 删除 的 目录 或 文件 名 缓冲 区 
int fd; // 设 备 文件 打开 时 用 到 的 文件 描述 符 
struct stat buf; // 文 件 状 态 结构 体 缓冲 区 
if (argc == 1) 
x*filename = '\0'; // 禁 止 删除 的 目录 或 文件 名 为 空 , 即 关 闭 删除 保护 功能 
else 


if (argc == 2){ 

if (strlen(argv[1]) >= 256){  // 容 错 性 检查 
printf("The path is too long! Please check it and try again! \n"); 
exit(1); 

上 

strcpy(filename, argv[1]); // 获 得 用 户 设置 要 保护 的 目录 或 文件 名 

if (stat(filename, &buf) != 0){ // 检 查 所 保护 的 目录 或 文件 是 否 存在 
printf("The file(or directory) may not exist! \n"); 
exit(1); 

} 

} else{ // 参 数 输入 错误 , 提示 正确 的 命令 行 参数 
printf("Commandline parameters are wrong! Please check them! \n"); 
printf("Usage: %s, or %s directory(file) name! \n",argv[0],argv[0]); 
exit(1); 

} 

if (stat("/dev/controlfile", gbuf) != 0){ 

/* 探测 设备 文件 是 否 已 经 创建 , 如果 没有 创建 , 则 先 创 建 该 设备 文件 。“mknod /dev/ 
controlfile c 123 0” 是 一 个 创建 设备 文件 的 shell 命令 ,其 后 面 的 四 个 参数 依次 指 
明 设 备 文件 的 文件 名 \ 设 备 类 型 . 主 设备 号 、 次 设备 号 ,这 些 参数 要 和 内 核 模 块 中 该 设 
备 的 驱动 程序 注册 相 一 致 * / 

证 (system("mknod /dev/controlfile c 123 0") == -1){ // 创 建设 备 文件 

printf("Can't create the device file ! \n"); 
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printf("Please check and try again! \n"); 
exit(1); 
3 
3 
fd =open("/dev/controlfile",0_RDWR,S_IRUSR|S_IWUSR); ”// 打 开设 备 文件 


if (fd > 0) 
write(fd, filename, strlen(filename)); // 写 人 删除 保护 的 目录 (或 文件 ) 名 
else { 
perror("Can't open /dev/controlfile \n"); 
exit (1); 
} 
close(fd) ; // 关 闭 设备 文件 


8.3 LSM 内 核 控 制 模块 的 实现 


Linux 内 核 模块 在 运行 时 是 Linux 内 核 的 一 部 分 ,因此 在 进行 Linux 内 核 模块 的 编程 
时 ,可 以 使 用 Linux 原 基本 内 核 中 的 一 些 数据 或 函数 资源 。 事 实 上 ,Linux 内 核 模块 也 必须 
使 用 原 有 的 内 核资 源 ,否则 新 编写 的 内 核 模块 就 不 能 很 好 地 与 原 有 的 内 核 部 分 发 生 信息 交 
互 , 也 难以 实现 新 编写 模块 的 功能 目标 。 新 内 核 模块 能 够 使 用 的 内 核资 源 主 要 包括 数据 结 
构 .全 局 性 或 导出 的 各 类 符号 (如 常量 .变量 函数) 等 。 通 过 包含 原 Linux 内 核 中 的 头 文件 ， 
在 新 编写 的 内 核 模块 中 就 可 以 使 用 对 应 的 资源 。 如 果 新 编写 的 内 核 模块 中 使 用 了 原 内 核 导 
出 的 符号 ,在 内 核 模块 加 载 时 ,Linux 内 核 会 依据 符号 表 将 该 符号 的 引用 定位 到 相应 的 内 存 
地 址 。 

下 面 首先 介绍 该 内 核 模块 开发 时 要 用 到 的 外 部 函数 和 结构 体 。 


8.3.1 涉及 到 的 外 部 函数 及 结构 体 


Linux 内 核 模块 编程 与 应 用 程序 编程 有 明显 的 不 同 , 在 内 核 模块 编程 中 可 以 使 用 内 核 
中 已 经 定义 好 的 一 些 资 源 ,包括 结构 体 和 导出 的 函数 等 。 在 进行 内 核 模 块 编程 时 ,应 该 依据 
模块 要 实现 的 功能 ,确定 要 使 用 的 Linux 内 核 中 的 结构 体 、 变 量 和 函数 等 。 本 内 核 控制 模块 
实现 中 需要 涉及 以 下 结构 体 及 函数 。 

1. struct file_operations 

在 Linux 中 ,为 了 便于 应 用 程序 对 设备 进行 访问 ,系统 内 核 统一 以 文件 的 形式 向 应 用 层 
提供 一 致 的 设备 访问 接口 。 也 就 是 说 ,应 用 程序 可 以 按照 访问 文件 的 方式 对 设备 进行 访问 ， 
如 使 用 各 种 文件 操作 接口 (如 打开 .、 读 、 写 、 关 闭 ) 来 访问 设备 。 

尽管 应 用 程序 可 以 采用 文件 操作 接口 来 访问 设备 ,Linux 内 核 在 接收 到 对 设备 文件 的 
访问 请 求 后 ,并 不 会 像 对 普通 文件 那样 进行 处 理 , 如 读 文件 操作 就 是 从 磁盘 上 读数 据 , 而 是 
要 调用 相应 的 设备 驱动 进行 处 理 。 

在 操作 系统 中 ,设备 开关 表 指 明了 设备 文件 的 各 种 操作 类 型 与 驱动 程序 中 完成 各 种 操 
作 的 处 理 函数 之 间 的 对 应 关系 。 在 Linux 操作 系统 中 ,设备 开关 表 结 构 体 对 应 为 struct 
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file_operations, 其 内 部 包含 一 系列 函数 指针 ,每 个 函数 指针 对 应 一 类 设备 操作 。 
struct file_operations 在 Linux 的 源码 头 文件 include/linux/fs. h 中 定义 ,其 大 致 内 
容 为 : 
struct file operations { 
struct module * owner; // 使 用 该 结构 体 的 模块 指针 , 避免 正在 操作 时 内 核 模块 被 卸载 
loff t ( * 11seek) (struct file *, loff t, int); 
ssize t (x*read) (struct file *, char user *, size t, loff t *#); 
ssize t ( * write) (struct file *, const char _user *, size t, loff t *); // 写 文件 
ssize t ( *aio read) (struct kiocb *, const struct iovec *, unsigned long, loff t); 
ssize t ( *aio write) (struct kiocb *, const struct iovec *, unsigned long, loff t); 
int ( * readdir) (struct file *, void *, filldir t); 
unsigned int ( * poll) (struct file *, struct poll table struct * ); 
int ( * ioct1) (struct inode *, struct file *, unsigned int, unsigned long); 
long ( * unlocked _ioct1) (struct file *, unsigned int, unsigned long); 
long ( * compat ioctl) (struct file *, unsigned int, unsigned long); 
int ( * mmap) (struct file *, struct vm area struct * ); 
int ( * open) (struct inode *, struct file * ); 


}; 

在 下 文 的 内 核 模块 实现 中 ,需要 定义 一 个 上 述 结构 体 的 变量 ,并 将 该 变量 的 write 域 初 
始 化 为 自行 设计 的 函数 ,用 于 接收 配置 程序 通过 写 设备 文 件 操作 传递 来 需要 删除 保护 的 目 
录 或 文件 名 。 

2. struct security_operations 

该 结构 体 包含 一 系列 的 函数 指针 ,而 这 些 函 数 指针 逐一 对 应 LSM 框架 覆盖 的 每 个 钩 
子 点 。 内 核 模块 注册 完成 之 后 , 当 Linux 的 处 理 流程 经 过 某 钩子 点 时 ,LSM 框架 会 自动 调 
用 该 结构 体 中 对 应 的 函数 。 通 过 修改 函数 指针 ,将 相应 的 函数 指针 指向 自行 设计 的 控制 函 
数 ,就 能 实现 对 一 些 操作 的 控制 。 

该 结构 体 在 内 核 源码 头 文件 include/linux/security. h 中 定义 ,其 大 致 内 容 如 下 : 


struct security_operations { 


int ( * inode unlink) (struct inode * dir, struct dentry * dentry); 

int ( * inode symlink) (struct inode * dir, struct dentry * dentry, const char * old name); 
int ( * inode mkdir) (struct inode * dir, struct dentry * dentry, int mode); 

int ( * inode rmdir) (struct inode * dir, struct dentry * dentry); 


} 

详细 查看 头 文件 include/linux/security. h 可 以 发 现 ,struct security_operations 有 近 百 
个 左右 的 函数 指针 域 , 这 表明 LSM 框架 在 Linux 系统 的 很 多 操作 (包括 文件 的 各 类 操作 、 
网 络 的 各 类 操作 、 系 统管 理 各 类 操作 ) 中 都 有 相应 的 钩子 ,LSM 模块 可 以 对 近 百 类 的 Linux 
操作 进行 控制 。 本 章 的 开发 实践 只 对 删除 目录 或 文件 进行 控制 ,因此 只 需 为 inode_unlink 
和 inode_rmdir 两 钩子 点 实现 相应 的 控制 函数 即 可 。 

3. struct dentry 


结构 体 struct dentry 对 应 Linux 系统 中 维护 在 内 存 中 的 一 个 目录 项 ,该 结构 体 与 保存 
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在 磁盘 的 目录 项 有 一 定 区 别 , 主 要 是 为 了 加 快 文件 查找 的 速度 ,在 该 结构 体 中 引入 一 些 新 的 
字段 。 
该 结构 体 在 Linux 源码 头 文件 include/linux/dcache. h 中 定义 ,其 大 致 内 容 如 下 : 


struct dentry { 
struct dentry *d parent; // 指 向 上 层 目 录 的 目录 项 结构 体 
a char d_iname[DNAME INLINE LEN MIN];  // 目 录 名 
}; 
在 Linux 系统 运行 过 程 中 ,所 有 的 目录 项 在 内 存 中 按 文件 的 目录 层次 关系 组 成 一 棵 树 。 
unsigned char d_iname 域 保存 该 目录 的 目录 名 , 即 当 层 目录 的 局 部 名 ,不 包含 所 在 的 目录 路 


径 。 要 获得 一 个 目录 项 对 应 的 全 路 径 名 ,需要 沿 d_parent 域 向 上 搜索 ,依次 拼合 出 全 路 径 
名 。 图 8-2 给 出 目录 /home/zxc/test 的 目录 项 及 全 路 径 上 的 目录 项 。 


d_parent: e 一 | d_parent: d_parent: e d_parent: @ 
d_iname:/ d_iname:home d_iname:zxc d_iname:test 


图 8-2 目录 项 示例 


这 里 需要 注意 的 是 ,文件 目录 树 的 根 结 点 对 应 的 目录 项 ,其 d_parent 域 的 值 并 不 指向 
NULL, 而 是 指向 该 目录 项 自身 。 因 此 在 以 循环 的 方式 沿 d_parent 域 向 上 搜索 拼合 成 全 路 
径 名 时 ,不 能 以 d_parent 域 为 NULL 作为 到 达 根 结 点 并 结束 循环 的 条 件 , 否 则 会 陷入 死 循 
环 。Linux 内 核 模块 程序 陷入 死 循 环 不 同 于 应 用 程序 中 的 死 循环 ,应 用 程序 死 循环 可 以 通 
过 任务 管理 器 结束 对 应 的 进程 ,而 内 核 模块 中 的 死 循 环 会 导致 系统 死机 ,只 能 以 直接 关闭 电 
源 的 方式 重 起 Linux 系统 。 

4. 函数 copy_from_user()/copy_to_user() 

在 x86 体系 结构 下 运行 的 Linux 操作 系统 中 ,应 用 程序 运行 在 虚 地 址 (或 称 保护 地 址 ) 
模式 ,其 中 的 每 个 虚 地 址 要 经 过 页 式 地 址 转换 才能 对 应 到 一 个 具体 的 物理 内 存 地 址 ,而 
Linux 操作 系统 运行 在 实地 址 模式 下 ,其 每 个 地 址 直接 就 是 具体 的 物理 内 存 地 址 。 

如 果 在 应 用 程序 中 ,需要 将 由 地 址 指针 user_ptr 指向 的 一 块 缓冲 区 数据 传递 到 内 核 中 
进行 处 理 , 尽 管 Linux 内 核 可 借助 于 系统 调用 参数 等 方式 获得 指针 user_ptr, 也 不 能 直接 通 
过 内 存 复 制 函数 memcpy() 或 字符 串 复制 函数 strcpy() ,将 该 指针 指向 的 数据 内 容 复制 到 
另 一 块 内 核 空间 的 缓冲 区 (假定 由 指针 kenerl_ptr 指向 ) 中 ,因为 函数 memcpy() 或 函数 
strcpy() 只 能 完成 同一 个 地 址 空间 上 的 两 个 缓冲 区 间 的 数据 复制 。 在 这 种 情况 下 ,就 需要 借 
助 内 核 函数 copy_from_user() (函数 原型 为 long copy_from_user(void * to，const void_user 
x from，unsigned long n);) 完 成 从 用 户 空间 到 内 核 空 间 的 数据 复制 ,参数 to 表示 内 核 空 
间 的 缓冲 区 指针 ,参数 from 表示 用 户 空间 的 缓冲 区 指针 ,参数 n 表示 要 复制 的 数据 长 度 。 
在 本 开发 实践 中 ,函数 copy_from_user() 用 于 获得 从 用 户 空间 传 来 的 禁止 删除 的 目录 或 文 
件 名 信息 。 

类 似 地 ,如 果 要 将 数据 从 内 核 空间 复制 到 应 用 层 缓存 区 中 ,也 不 能 直接 进行 内 存 复制 ， 
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需要 调用 另外 一 个 内 核 函数 copy_to_user() 来 完成 数据 复制 。 
5. 函数 register_chrdev()/unregister_chrdev() 
。 函数 register_chrdev()。 函 数 原型 为 ; 


int register chrdev(unsigned int major, const char x name, struct file operations * fops); 


该 函数 用 于 在 系统 中 注册 一 个 字符 型 设备 及 其 相应 的 驱动 函数 ,其 中 参数 major 指 
明了 所 要 注册 设备 的 主 设备 号 ,参数 name 指明 了 设备 的 名 称 , 参 数 fops 指向 包含 
了 一 组 操作 函数 的 结构 体 。 一 旦 设备 注册 成 功 ,就 可 以 通过 mknod 命令 创建 一 个 
对 应 主 设备 号 的 设备 文件 ,之 后 对 该 设备 文件 的 访问 就 会 自动 调用 结构 体 fops 中 
的 相应 处 理 函 数 。 在 本 开发 实践 的 模块 初始 化 函数 中 ,需要 调用 该 函数 注册 一 个 新 
的 设备 及 其 驱动 函数 。 该 函数 在 Linux 源码 头 文件 include/linux/fs. h 中 定义 。 

。 函数 unregister_chrdev()。 函 数 原型 为 


int unregister_ chrdev(unsigned int major, const char * name,); 


该 函数 注销 一 个 设备 及 相应 的 驱动 函数 ,参数 major 指明 要 注销 设备 的 主 设备 号 ， 
参数 name 指明 了 要 注销 设备 的 名 字 。 在 本 开发 实践 的 模块 注销 函数 中 ,需要 调用 
该 函数 注销 本 开发 实践 中 注册 的 设备 及 其 驱动 函数 。 该 函数 在 Linux 源码 头 文件 
include/linux/fs. h 中 定义 。 

6. 函数 register_security()/unregister_security() 

函数 register_security()。 隐 数 原型 为 


int register security (struct security operations * ops); 


要 使 内 核 模 块 中 的 安全 机 制 发 挥 作用 , 当 加 载 该 内 核 模 块 时 ,需要 使 用 该 函数 向 
LSM 框架 注册 该 内 核 模 块 中 的 控制 函数 ,参数 ops 中 的 所 有 函数 指针 将 挂 装 到 相 
应 的 LSM 钩子 点 ,从 而 使 Linux 内 核 在 发 生 一 些 事件 时 ,借助 LSM 框架 向 这 个 内 
核 模 块 询问 访问 控制 决策 。 因 此 在 内 核 模块 的 初始 化 函数 中 ,需要 将 编写 好 的 访问 
控制 函数 注册 到 LSM 框架 中 。 

函数 unregister_security() 。 函 数 原 型 为 : 


int unregister_security(struct security_operations * ops); 


在 印 载 内 核 模 块 前 ,需要 调用 该 本 数 将 注册 到 LSM 各 钩子 点 的 处 理 函 数 提前 注销 ， 
否则 内 核 模块 显示 为 "used” 状 态 ,而 Linux 操作 系统 不 允许 印 载 一 个 正在 被 使 用 的 
模块 ,因为 已 卸载 模块 的 符号 引用 会 给 Linux 系统 带 来 很 大 的 不 稳定 性 。 钧 子 函数 
的 注销 通常 在 内 核 模块 的 印 载 函数 中 进行 。 


8.3.2 头 文件 .全 局 变量 及 函数 声明 


1. 头 文件 和 宏 定 义 
该 系统 原型 的 实现 涉及 到 下 列 头 文件 和 安定 义 : 
# include < Linux/kernel.h> /* 该 头 文件 包含 了 进程 控制 块 结构 体 tast_struct, 
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原型 系统 的 实现 代码 中 在 解析 文件 或 目录 的 路 径 时 ,需要 用 到 该 结构 体 * / 


# include < linux/init.h> // 模 块 初始 化 函数 需要 包含 该 头 文件 
# include < linux/module.h> // 进 行内 核 模块 编程 所 必须 包含 的 头 文件 
# include < linux/security.h> // 使 用 LSM 机 制 必须 要 包含 该 头 文件 
#include < linux/fs.h> // 原 型 系统 的 实现 代码 中 有 关 文件 的 相关 操作 要 包含 
该 头 文件 
# include < linux/uaccess.h> // 函 数 copy_from_user() 会 涉及 到 该 头 文件 
# define MAX_LENGTH 256 // 表 示 所 设置 的 禁止 删除 目录 名 的 最 大 长 度 
2. 全 局 变量 
本 原型 系统 的 源码 实现 共 定义 了 五 个 全 局 变量 : 
。 char controlleddir[256]; // 用 于 保存 所 控制 的 目录 或 文件 名 称 
。 int enable flag = 0; /* 表示 是 否 启用 新 设计 的 访问 控制 功能 , 当 用 户 配 置 


禁止 删除 保护 的 目录 或 文件 名 为 空 串 时 ,该 标志 变 
量 置 0, 表 示 关 闭 访问 控制 功能 ,否则 置 1* / 
。 struct file operations fops = { 
owner: THIS_MODULE, // 定 义 了 使 用 范围 
write: write controlleddir, // 定 义 设备 文件 写 操作 的 处 理 函数 
} 
全 局 变量 fops 对 应 了 一 个 设备 开关 表 , 该 变量 将 用 于 注册 新 创建 设备 文件 的 驱动 函 
数 。 由 于 本 开发 实践 中 的 设备 文件 是 用 于 获得 禁止 删除 保护 的 目录 或 文件 名 ,因此 只 需 重 
新 实现 该 设备 文件 的 写 操作 函数 即 可 ,其 他 种 类 的 操作 函数 使 用 系统 默认 的 处 理 函 数 即 可 。 
write_controlleddir 为 新 创建 设备 文件 的 写 操作 对 应 的 处 理 函 数 。 


。 static struct security_operations lsm ops ={ 
.inode rmdir = lsm inode rmdir, 
.inode unlink = lsm_ inode unlink, 
}; 
结构 体 变 量 lsm_ops 定义 了 用 于 LSM 机 制 的 一 组 钩子 函数 ,由 于 本 开发 实践 中 只 关心 
对 删除 文件 和 删除 目录 的 控制 。 因 此 只 对 该 变量 中 的 inode_rmdir 和 inode_unlink 两 个 域 
进行 初始 化 ,这 两 个 域 分 别 对 应 删除 目录 和 删除 文件 的 钧 子 函 数 。lsm_inode_rmdir 和 lsm 
_inode_unlink 是 原型 系统 中 自行 设计 的 两 个 函数 ,分 别 用 于 判断 目录 和 文件 的 删除 是 否 
许可 。 
。 static int secondary = 0; /* 标识 所 实现 的 内 核 模 块 是 以 主 安全 模块 的 方式 注册 
到 LSM 框架 中 的 ,还 是 以 从 属 的 方式 注册 的 * / 
3. 函数 声明 


对 Linux 的 内 核 模块 而 言 ,模块 初始 化 函数 和 模块 注销 函数 是 由 Linux 内 核 自 动 调用 
的 。 前 者 在 模块 加 载 到 内 核 中 时 被 Linux 内 核 自 动 调用 ,后 者 在 模块 印 载 时 被 自动 调用 。 
显然 Linux 内 核 并 不 会 智能 地 知道 用 户 编 写 的 哪个 函数 是 模块 初始 化 函数 ,哪个 函数 是 模 
块 注销 函数 。 因 此 在 模块 编程 中 需要 通过 两 个 已 经 存在 的 宏 定 义 , 声 明 相 应 的 模块 初始 化 
函数 和 模块 注销 函数 , 形 如 : 


module init(lsm init); 
module exit(lsm exit); 


其 中 lsm_init 和 lsm_exit 是 本 章 开发 实践 中 自行 编写 的 两 个 函数 。 前 者 用 于 完成 新 设 
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备注 册 以 及 LSM 的 钩子 函数 注册 ,后 者 完成 与 前 者 相反 的 工作 , 即 注销 已 注册 的 设备 和 
LSM 钧 子 函 数 。 

为 了 防止 编译 出 的 内 核 模块 在 运行 过 程 中 出 现 *“kernel tainted” 一 类 的 警告 ,现在 的 一 
些 Linux 内 核 版 本 中 ,内 核 模块 必须 通过 MODULE_LICENSE 安 声 明 此 模块 的 许可 证 。 
一 般 而 言 ,内 核能 接受 的 许可 证 有 “GPL”“GPL V2” 等 ,这 里 采用 下 面 的 许可 证 声明 : 


MODULE_LICENSE( "GPL" ); 


8.3.3 函数 功能 设计 


本 系统 原型 的 实现 主要 包括 七 个 函数 ,各 个 函数 的 功能 分 别 为 : 
。 目录 删除 控制 函数 。 函 数 原型 为 : 


static int lsm inode rmdir(struct inode * dir, struct dentry * dentry); 


该 函数 将 会 被 模块 初始 化 函数 注册 到 LSM 框架 中 删除 目录 对 应 的 钩子 点 ,在 
Linux 删除 目录 时 被 自动 调用 。 该 函数 首先 通过 调用 函数 get_fullpath() 从 参数 
dentry 解析 出 要 删除 目录 的 全 路 径 名 ,然后 调用 函数 myown_check() ,将 解析 出 的 
全 路 径 名 与 全 局 变量 controlleddir 中 的 内 容 进 行 比 对 。 如 果 controlleddir 中 的 内 
容 是 该 全 路 径 名 的 前 级 ,说 明 要 删除 的 目录 为 要 保护 的 目录 或 者 要 保护 目录 的 子 目 
录 , 向 LSM 框架 返回 值 1 ,表示 拒绝 删除 该 目录 ,否则 向 LSM 框架 返回 值 0。 
文件 删除 控制 函数 。 函 数 原型 为 : 


static int lsm_ inode unlink(struct inode * dir, struct dentry * dentry); 


该 函数 与 隐 数 lsm_inode_ rmdir() 相 类 似 , 会 被 注册 到 LSM 框架 中 删除 文件 对 应 
的 钧 子 点 ,在 Linux 删除 文件 时 被 自动 调用 。 该 函数 首先 通过 调用 隐 数 get_ 
fullpath() 从 参数 dentry 解析 出 要 删除 文件 的 全 路 径 名 ,然后 调用 函数 myown_ 
check() ,将 解析 出 的 全 路 径 名 与 全 局 变量 controlleddir 中 的 内 容 进行 比 对 。 如 果 
变量 controlleddir 中 的 内 容 是 该 全 路 径 名 的 前 级 ,说 明 要 删除 的 文件 为 要 保护 目录 
下 的 文件 ,向 LSM 框架 返回 值 1, 表 示 拒 绝 删除 该 文件 ,否则 向 LSM 框架 返回 值 0。 
全 路 径 名 获取 函数 。 函 数 原 型 为 : 


static int get fullpath(struct dentry * dentry, char * full path); 


该 函数 主要 从 参数 dentry 指向 的 目录 项 结构 体 中 ,通过 逐 层 查找 上 层 目 录 的 方式 
获得 dentry 所 在 的 全 路 径 名 ,并 保存 到 参数 full_path 所 指向 的 区 域 中 。 查 找 的 具 
体 过 程 详 见 8. 3.1 节 。 

目录 检查 函数 。 函 数 原型 为 : 


int myown check(char * full name); 


该 函数 检查 参数 full_name 中 的 目录 或 文件 是 否 为 受 保护 的 目录 或 文件 。 该 函数 的 
检查 过 程 是 将 full_name 指向 的 字符 串 与 全 局 变量 controlleddir 中 的 内 容 进行 比 
较 。 如 果 后 者 为 前 者 的 前 级 ,表明 参数 full_name 表示 的 目录 或 文件 在 所 保护 目录 
下 ,返回 值 1, 否 则 返回 值 0。 该 函数 采用 简易 的 方法 判断 一 个 文件 是 否 在 所 保护 的 
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5.3， 


目录 下 ,事实 上 这 种 简易 算法 并 不 严谨 ,这 里 不 再 深究 。 

设备 的 写 操作 函数 。 函 数 原型 为 : 

void write controlleddir(int fd, char * buf, ssize t len); 

该 函数 是 新 注册 设备 的 一 个 驱动 函数 ,用 于 处 理 设备 文件 的 写 操作 。 其 主要 任务 是 
通过 调用 函数 copy_from_user() ,将 来 自 应 用 层 空间 的 缓冲 区 buf 中 的 内 容 ( 即 所 要 


保护 的 目录 或 文件 名 ) 复 制 到 内 核 层 空间 的 缓冲 区 , 即 模块 全 局 变量 controlleddir。 
模块 初始 化 函数 。 函 数 原型 为 : 


static int _init lsm init(void); 


该 函数 在 内 核 模块 加 载 时 被 Linux 内 核 自 动 调用 ,主要 完成 两 项 工作 , 即 调用 函数 
register_chrdev() 注 册 一 个 新 设备 及 其 驱动 函数 ,以 及 调用 函数 register_security() 
注册 控制 函数 到 LSM 框架 中 相应 的 钧 子 点 。 

模块 注销 函数 。 函 数 原型 为 : 


static void __exit lsm exit(void); 


该 函数 在 内 核 模块 印 载 时 被 Linux 内 核 自 动 调用 ,完成 与 函数 lsm_init() 相 反 的 工 
作 , 即 注销 新 注册 的 设备 及 其 驱动 函数 ,以 及 注销 已 注册 到 LSM 框架 中 钩子 点 上 的 
钩子 函数 。 


4 函数 实现 与 注释 
。 全 路 径 名 获取 函数 。 


int get_fullpath(struct dentry * dentry, char * full path){ 
struct dentry * tmp_dentry = dentry; // 记 录 要 获取 的 全 路 径 名 的 目录 项 


char tmp_path[ MAX_LENGTH]; // 保 存 路 径 名 的 临时 缓冲 区 

char local path[MAX LENGTH]; // 保 存 路 径 名 的 临时 缓冲 区 
memset(tmp_path, 0, MAX_LENGTH); // 初 始 化 缓冲 区 

memset(local_ path,0,MAX LENGTH); // 初 始 化 缓冲 区 

while (tmp_dentry != NULL){ /* 该 循环 从 最 下 层 的 目录 项 开始 , 逐 层 向 上 处 理 ,变量 


local_path 存储 从 正在 处 理 的 那 层 目 录 开始 至 当 
前 层 目 录 的 路 径 名 x*/ 
if (!strcmp(tmp_dentry--> d_iname,"/")) // 是 否 已 到 根 目录 


break; // 已 到 根 目录 ,提前 退出 
strcpy(tmp_path, "/"); // 设 置 上 下 两 层 目 录 之 间 的 分 隔 符 "/" 
strcat(tmp_path, tmp_dentry->d iname); /* 在 目录 分 隔 符 后 ,合并 正在 处 理 目录 项 的 
目录 名 * / 


strcat(tmp_path, local_path) ; // 合 并 已 拼合 好 的 下 层 目 录 路 径 
strcpy(local_path, tmp_path) ; // 将 合并 结果 保存 至 变量 local_path 
tmp_dentry = tmp_dentry->d_parent; // 指 向 上 层 目录 的 目录 项 继续 处 理 

} 

strcpy(full_path, local_path); // 将 计算 出 的 全 路 径 名 复制 到 结果 缓冲 区 中 


return 0; 
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。 目 录 检 查 函 数 。 


int myown check(char * full name){ 
if (enable flag == 0) 
return 0; // 禁 止 删除 功能 处 于 关闭 状态 ,直接 返回 允许 删除 的 标志 
if (strncmp(full_name, controlleddir, strlen(controlleddir)) == 0) { /x* 比较 要 删除 
文件 的 文件 (或 目录 ) 名 与 要 删除 保护 的 文件 (或 目录 ) 
是 否 一 致 .注意 : 如 果 要 保护 的 目录 controlleddir 是 
所 删除 文件 fu11_name 的 前 组 ,表明 该 文件 在 所 保护 目 


录 的 里 面 ,应 该 禁止 删除 * / 
printk("remove denied of the file: %s\n",full name); 
return 1; // 删 除 保护 的 文件 ,禁止 删除 
} 
else 
return 0; // 删 除 的 不 是 受 保护 的 文件 , 允许 删除 


} 
。 目录 删除 控制 函数 。 


static int lsm inode rmdir(struct inode * dir, struct dentry * dentry){ /x* 该 函数 在 删除 目录 
时 自动 被 LSM 框架 调用 * / 
char full_name[MAX LENGTH]; // 要 删除 目录 名 的 缓冲 区 
memset(full_name,0,MAX LENGTH); // 初 始 化 目录 名 缓冲 区 
get_fullpath(dentry, full_name); // 获 得 要 删除 目录 的 全 路 径 名 
证 (myown_check(full_name) != 0) { // 要 删除 目录 在 禁止 删除 目录 内 
printk("remove denied of the directory: % s\n",full name); 


return 1; // 禁 止 删除 
} else 
return 0; // 人 允许 删除 


。 文件 删除 控制 函数 。 


static int lsm inode unlink(struct inode * dir, struct dentry * dentry){ /* 该 函数 在 删除 文 
件 时 自动 被 LSM 框架 调用 * / 
char full_name[ MAX_LENGTH]; // 要 删除 文件 名 的 缓冲 区 
memset(full_name,0,MAX LENGTH); // 初 始 化 缓冲 区 
get_fullpath( dentry, full_name); // 获 得 要 删除 文件 的 全 路 径 名 
if (myown_check(full_name) != 0) { ”// 要 删除 文件 在 禁止 删除 目录 内 
printk("remove denied of the file: % s\n",full name); 


return 1; // 禁 止 删除 
} else 
return 0; // 人 允许 删除 


} 
。 设备 写 操作 函数 。 


int write_controlleddir(int fd, char * buf, ssize t len){ 
if (len == 0){ // 配 置 程序 写 入 的 内 容 为 空 , 即 长 度 为 0, 表明 用 户 关闭 删除 保护 功能 


enable flag = 0; // 设 置 删除 保护 功能 禁用 标志 
printk("Cancel the protect mechanism sucessfullly! \n"); 
return 0; 


} 
if (copy_from_user(controlleddir, buf ,len) != 0){ /* 获得 要 删除 保护 的 目录 (或 文件 ) 
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名 ,复制 至 全 局 变量 controlleddirx / 
printk("Can't get the controlled directory's name! \n"); 
printk("Something may be wrong, please check it! \n"); 


enable flag = 0; // 无 法 获得 禁止 删除 的 目录 ,设置 删除 保护 功能 禁用 标志 
retrun 0; // 提 前 退出 

| 

controlleddir[len] = '\0'; // 设 置 字符 串 结束 标志 

enable flag = 1; // 设 置 删除 保护 功能 启用 标志 


printk("Controlleddir name: % s \n",controlleddir); ”// 输 出 更 新 后 的 删除 保护 目录 名 
return len; 


} 


static int __init lsm init(void){ 
int ret; 
if(register_ security(&lsm ops)){ // 作 为 主 安全 模块 加 载 不 成 功 
printk(KERN_INFO"Failure registering LSM module with kernel\n"); 
证 (mod_reg_security(KBUILD MODNRME，&lsm_ops)){ /* 作为 附属 安全 模块 加 载 不 成 功 * / 
printk(KERN_INFO"Failure reigstering LSM module with primary module\n"); 
return 1; // 加 载 不 成 功 返回 错误 


} 
secondary = 1; // 设 置 标志 , 表明 是 作为 一 个 附属 安全 模块 加 载 成 功 的 


} 
ret = register_chrdev(123, "/dev/controlfile",&fops); // 向 系统 注册 新 设备 及 驱动 


if (ret != 0) // 向 系统 注册 新 设备 及 驱动 失败 
printk("Can't register device file! \n"); // 输 出 错误 提示 信息 

printk(KERN_INFO"LSM Module Init Success! \n"); 

return 0; 


} 
。 模 块 注销 函数 。 


static void _exit lsm exit(void){ 
if(secondary) 
mod_unreg_security(KBUILD_MODNAME, & lsm_ops); // 卸 载 从 属 的 LSM 安全 模块 


else 

unregister security(&lsm ops); // 抒 载 独 立 的 主 安全 模块 
unregister chrdev(123, "/dev/controlfile "); // 向 系统 注销 设备 结 点 文件 
printk(KERN_INFO"LSM Module unregistered...\n"); 


8.4 编译、 运行 及 测试 


如 前 两 节 完 成 原型 系统 的 代码 编程 后 ,就 可 以 对 该 原型 系统 进行 测试 ,在 运行 测试 前 需 
要 将 源 代码 编译 成 可 执行 程序 及 可 加 载 内 核 模块 。 


8.4.1 编译 方法 和 过 程 
该 原型 系统 由 配置 程序 和 内 核 模 块 两 部 分 组 成 .这 两 部 分 的 编译 方法 不 同 , 需 要 分 别 进 
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行 编译 。 其 中 配置 程序 的 编译 比较 简单 ,只 需 在 shell 命令 行 下 输入 命令 即 可 。 
gcc -ocontrolconf controlconf.c 


controlconf. c 是 保存 配置 程序 源 代码 的 源 文 件 名 (假定 该 文件 在 当前 目录 下 )， 
controlconf 为 编译 出 的 目标 文件 ,该 目标 文件 可 以 任意 命名 。gcc 命令 执行 结束 ,就 会 在 当 
前 目录 下 得 到 一 个 名 为 controlconf 的 可 执行 文件 。 

Linux 的 内 核 模块 编译 方法 比较 复杂 ,会 涉及 到 很 多 的 编译 选项 ,尤其 在 2.6 以 上 
Linux 内 核 版 本 上 编译 内 核 模块 。 一 般 通 过 编写 工程 文件 (Makefile) 的 方式 来 完成 内 核 模 
块 的 编译 ,本 开发 实践 中 的 Makefile 文件 为 : 

obj -m += lsm.o 

KDIR := /lib/modules/ $ (shell uname —r)/build 

PWD := $ (shell pwd) 

$ (MAKE) —C $ (KDIR) M= $ (PWD) modules 

Obj-m 十 = lsm. o 这 个 赋值 语句 表明 使 用 目标 文件 lsm. o 建立 一 个 内 核 模 块 (这 里 的 
内 核 模 块 源 代码 文件 为 lsm. c), 最 后 生成 的 内 核 模块 是 lsm. ko; KDIR 给 出 编译 该 内 核 模 
块 所 涉及 到 的 一 些 资源 所 在 路 径 , make 程序 在 解释 执行 该 Makefile 文件 时 ,首先 转 到 
$ (KDIR) 表 示 的 目录 下 执行 ,M 王 $ (PWD) 指 明了 该 模块 文件 所 在 的 路 径 ,modules 指明 
了 所 编译 的 是 Linux 内 核 模 块 。 

在 当前 目录 ( 即 包含 上 面 的 Makefile 和 lsm.c 的 目录 ) 下 输入 make, 执 行 完成 后 ,就 会 
看 到 lsm. ko 文件 ,这 就 是 可 加 载 的 内 核 模块 目标 文件 。 

需要 注意 的 是 ,编者 是 在 Fedora Core 6 Linux (以 下 简称 FC6 系统 ) 中 ,gcc 4.1. 1 版 本 
下 编译 8.2 节 和 8. 3 节 中 的 源 代 码 , 若 在 其 他 编译 环境 完成 上 面 的 编译 时 可 能 会 遇 到 兼容 
性 的 问题 , 需 进行 相应 的 移植 后 才能 成 功 编译 。 


8.4.2 运行 及 测试 环境 配置 


这 里 需要 说 明 的 是 Linux 的 不 同 内 核 版 本 对 LSM 框架 和 安全 机 制 的 支持 方式 存在 一 
些 不 同 。 对 Linux 2. 4 版 本 的 内 核 ,LSM 框架 不 限制 安全 机 制 的 注册 数量 ,也 就 是 说 可 以 
依次 向 LSM 框架 注册 多 个 安全 机 制 ,LSM 框架 在 每 个 钩子 点 会 依次 调用 这 些 安全 机 制 中 
的 相关 钩子 函数 。 

多 种 安全 机 制 注册 功能 的 支持 给 Linux 内 核 提供 各 种 灵活 的 安全 功能 扩展 方式 ,但 多 
个 安全 机 制 的 存在 也 可 能 会 给 系统 带 来 一 些 稳定 性 和 可 靠 性 方面 的 威胁 。 因 此 在 最 近 的 
Linux 的 内 核 版 本 (2.6. 10 以 上 版 本 ) 中 ,已 不 能 将 多 种 安全 机 制 加 入 LSM 框架 中 。 如 果 
Linux 系统 运行 时 ,已 经 注册 了 其 他 的 安全 机 制 ,本 章 开发 的 LSM 安全 模块 在 加 载 到 
Linux 内 核 时 就 不 能 将 钧 子 函 数 成 功 注 册 到 LSM 框架 中 ,因此 其 中 的 文件 (目录 ) 禁 止 删除 
的 安全 机 制 就 不 能 发 挥 作用 。 由 于 一 些 Linux 发 行 版 (如 编者 所 用 的 FC6 系统 ) 可 能 已 经 
内 嵌 了 一 些 安 全 机 制 ,如 SELinux 等 ,这 需要 重新 配置 Linux 内 核 ,然后 才能 进行 本 原型 系 
统 的 运行 测试 。 

如 果 已 注册 到 LSM 框架 中 的 安全 机 制 以 内 核 模块 的 形式 存在 于 Linux 内 核 中 ,只 需 
印 载 相应 的 安全 模块 即 可 。 如 果 原 来 注册 到 LSM 框架 中 的 安全 机 制 直接 编译 到 Linux 内 
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核 中 ,要 去 掉 已 有 的 安全 机 制 就 比较 复杂 ,编者 以 默认 方式 安装 的 FC6 系统 ,其 注册 到 
LSM 框架 中 的 安全 机 制 就 是 直接 编译 到 内 核 中 的 。 在 这 种 情况 下 ,就 需要 重新 配置 和 编译 
Linux 的 内 核 ,以 去 掉 所 注册 的 安全 机 制 , 下 面 以 在 FC6 系统 平台 下 新 内 核 编译 为 例 , 简 单 
阐述 如 何 编译 和 运行 新 Linux 内 核 。 

1. 下 载 和 安装 Linux 的 内 核 源 代码 

常见 的 FC6 发 行 版 的 内 核 版 本 为 2. 6. 18-1. 2798. fc, 如 果 系 统 中 已 经 安装 了 该 版 本 的 
内 核 源 代码 ,或 者 能 够 找到 对 应 的 RPM 包 进 行 简 单 安装 ,就 没有 必要 再 去 下 载 源 代 码 了 。 
如 果 没 有 ,可 以 去 Linux 内 核 的 官方 网 站 下 载 一 个 标准 的 Linux 内 核 源 代码 ,为 了 编译 出 的 
新 内 核 与 FC6 的 应 用 层 工 具 实 现 较 好 的 兼容 ,这 里 编者 下 载 一 个 2. 6. 18 版 本 的 内 核 代 码 ， 
其 URL 为 http://www. kernel. org/pub/linux/kernel/v2. 6/linux-2. 6. 18. tar. bz2。 所 下 
载 的 内 核 源码 为 一 压缩 文件 ,这 里 假定 将 其 解压 到 /usr/src/kernels/linux-2. 6. 18 目录 下 。 

2. 配置 Linux 的 内 核 

在 编译 和 安装 Linux 新 内 核 前 ,需要 进行 编译 选项 的 配置 。 对 本 章 的 开发 实践 而 言 ,这 
里 编译 新 内 核 的 目的 就 是 在 于 去 掉 对 其 他 LSM 安全 机 制 的 支持 。 在 源 代码 目录 下 执行 
make config 或 者 make menuconfig 可 以 进行 编译 选项 配置 ,前 者 以 字符 界面 方式 完成 内 核 
选项 配置 ,后 者 以 菜单 的 方式 完成 内 核 编译 选项 的 配置 。 这 里 采用 ,也 建议 采用 后 者 的 方式 
配置 Linux 内 核 的 编译 选项 。 

Linux 内 核 配置 包含 了 数 以 百 计 的 编译 选项 ,对 大 部 分 编译 选项 而 言 采用 默认 的 选项 
配置 即 可 ,硬件 配置 相关 的 选项 需要 结合 自己 机 器 硬件 进行 配置 。 本 童 编译 内 核 的 目的 是 
去 掉 注 册 到 LSM 框架 中 的 安全 机 制 。 进 入 Security options, 会 出 现 如 图 8-3 所 示 的 配置 
选项 。 


文件 人 编辑 EE) 查看 终端 D 标签 @@) 帮助 中 ) 


图 8-3 Linux 内 核 的 安全 选项 配置 实例 图 


从 中 可 以 发 现 几 个 与 本 开发 实践 有 关 的 选项 ,其 中 Socket and Networking Security 
Hooks 选项 表示 是 否 支 持 LSM 框架 ,显然 一 定 要 选 定 该 选项 ,否则 新 编译 出 的 内 核 不 支 
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持 LSM 机 制 ,更 不 用 说 新 加 载 一 个 内 核 模块 去 注册 LSM 钧 子 函 数 。 后 面 的 选项 涉及 到 
基于 LSM 框架 实现 的 安全 机 制 ,不 要 选择 这 些 安全 选项 ,以 免 影响 本 实践 中 的 安全 模块 
注册 。 

3. 编译 和 安装 Linux 的 新 内 核 

配置 完成 之 后 ,在 源 代码 目录 树 的 根 目录 ,依次 输入 下 列 命 令 完 成 Linux 新 内 核 的 编译 
和 安装 : 


make dep 井 计算 源 文件 间 的 依赖 , 以 便于 只 重新 编译 改动 有 关 的 部 分 

make 井 开始 内 核 的 编译 过 程 , 第 一 次 完整 编译 需 数 十 分 钟 至 数 小 时 不 等 
make modules # 编 译 模块 

make modules_install # 安 装 模 块 

make install # 安 装 新 编译 好 的 内 核 


上 述 过 程 顺 利 完 成 之 后 ,就 可 以 重新 启动 系统 。 在 启动 的 系统 选择 菜单 中 ,就 会 看 到 新 
增加 一 个 名 称 为 “2. 6. 18” 的 引导 项 。 这 个 引导 项 对 应 了 上 面 编译 出 的 支持 LSM 框架 而 又 
没有 注册 其 他 安全 机 制 的 新 内 核 ,选择 这 个 引导 项 启动 Linux 系统 ,就 可 以 进行 本 章 开发 的 
安全 机 制 的 运行 和 测试 。 


8.4.3 文件 操作 控制 功能 的 测试 


在 测试 之 前 通过 mkdir 命令 创建 一 个 专门 目录 用 于 测试 ,这 里 测试 目录 为 /root/test， 
对 本 章 开发 的 原型 系统 测试 流程 如 下 : 
(1) 加 载 和 查看 模块 。 


» insmod lsm. ko 井 插入 lsm. ko 模块 到 Linux 内 核 。 

» dmesg # 查 看 内 核 的 信息 输出 ,如 果 模 块 加 载 成 功 , 且 LSM 钧 子 
函数 注册 成 功 ,在 dmesg 输出 信息 的 最 后 部 分 ,将 会 看 
到 “LSM Module Init Success!1”。 这 是 在 模块 初始 化 函 
数 中 通过 printk 函数 输出 的 信息 。 

。 lsmod 井 查看 系统 中 所 有 加 载 的 内 核 模块 ,如 果 加 载 成 功 ,在 显示 


出 的 内 核 模块 列表 中 将 会 看 到 名 字 为 lsm 的 模块 。 
(2) 文件 和 目录 删除 测试 。 
。 touch /root/test/testfile # 创建 测试 用 的 文件 。 
。 . /controlconf /root/test # 配 置 : 禁止 删除 /root/test 目录 下 文件 和 子 目 录 。 
rm /root/test/testfile “ 井 删除 该 文件 ,显示 删除 不 成 功 。 
. /controlconf 井 配置 空 路 径 , 相 当 于 关闭 删除 保护 的 功能 。 
rm /root/test/testfile “ 井 删 除 该 文件 ,无 输出 信息 显示 ,意味 删除 成 功 。 
mkdir /root/test/testdir # 创建 测试 用 的 目录 。 
. /controlconf /root/test # 配置: 禁止 删除 /root/test 目录 下 文件 和 子 目 录 。 
rm /root/test/testdir 井 删除 该 文件 ,显示 删除 不 成 功 。 
。 . /controlconf 井 配置 空 路 径 , 相 当 于 关闭 删除 保护 的 功能 。 
。 rmdir /root/test/testdir 井 删除 该 目录 ,无 输出 信息 显示 ,意味 删除 成 功 。 
具体 执行 过 程 和 结果 如 图 8-4 所 示 。 
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root@IDServer:~/Ism-check 轩 | 回 | 民 


文件 但 ”编辑 人 ”查看 人 冯 端 各 标签 @) 帮助 人 


[root@lDServer 1smcheck]# insmod 1sm.ko 
[rootélDServer lsm-check]# touch /root/test/testfile 
[rooteIDServer lsm-check]# ./controlconf /root/test 
[rooteTDServer lsm-check]# rm /root/test/testfile 
rm: 是 否 删除 一 般 空 文件 Yroot/test/testfile™”? 了 

rm: 无 法 删除 Yroot/test/testfile™ 

[root@lDServer lsmcheck]# ./controlconf 
[root@lDServer lsm-check]# rm /root/test/testfile 
rm: 是 否 删除 一 般 空 文件 Yroot/test/testfile”? 了 


[root@lDServer 1smcheck]s mkdir /root/test/testdir 
[rootélDServer lsm-check]# ./controlconf /root/test 
[root@lDServer ism-check]# rmdir /root/test/testdir 
rmdir: /root/test/testdir 

[rootélDServer 1smcheck]# ./controlconf 
[rootsIDServer lsm-check]# rmdir /root/test/testdir 
Lroot@lDServer lsmr-check]# 目 


图 8-4 文件 和 目录 删除 测试 过 程 


(3) 印 载 内 核 模块 。 

»° rmmod lsm # 印 载 所 插入 的 安全 模块 ,测试 完 

。 dmesg # 查 看 内 核 输出 的 信息 。 

通过 dmesg 命令 ,在 显示 文本 的 最 后 可 以 看 到 图 8-5 中 信息 ,这 是 内 核 模块 在 执行 一 些 
操作 时 的 信息 输出 。 


root@IDServer:~/test 过 特色 


文件 从 编辑 全 查看 (V) 线 喘 人 ”标签 昌 ) 帮助 和 
LSM Module Init Success! 

Controlleddir name: /root/test 

remove denied of the file: /root/test/testfile 
remove denied of the fil root/test/testfile 
Cancel the protect mechs, essfullly! 
Controlleddir name; /root/test 

remove denied of the file: /root/test/testdir 
remove denied of the directory: /root/test/testdir 
Cancel the protect wecha sucessfullly! 

LSM Module unregistered..... 

[rootolDServer test]= 目 


图 8-5 ”dmesg 命令 看 到 的 信息 输出 


8.5 扩展 开发 实践 


本 章 基 于 Linux 的 LSM 框架 实现 了 文件 访问 控制 的 原型 系统 ,为 了 将 开发 过 程 的 重 
点 集中 在 原理 和 开发 技术 体现 上 ,仅仅 实现 文件 和 目录 删除 的 控制 。 实 际 上 ,LSM 框架 支 
持 多 达 几 百 种 类 型 的 操作 控制 ,在 该 原型 系统 的 基础 上 ,可 基于 LSM 框架 进行 多 个 方面 的 
扩展 开发 实践 。 


8.5.1 基于 LSM 的 程序 运行 权限 管理 


回顾 本 书 2. 5. 1 节 中 的 阐述 可 知 : Linux 主要 依据 进程 的 启动 用 户 判断 进程 的 操作 权 
限 , 这 意味 着 进程 可 以 享有 启动 用 户 的 所 有 权限 。 这 种 授权 方式 违背 信息 安全 的 最 小 特权 
原则 ,最 小 特权 原则 指明 按 一 个 主体 (进程 等 ) 完 成 它 正 常任 务 所 需要 的 最 小 权限 进行 授权 ， 
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如 果 一 种 权限 对 该 主体 正常 运行 不 是 必需 的 ,就 不 要 赋予 该 主体 这 种 权限 。 

基于 LSM 框架 ,可 以 实现 接近 于 最 小 特权 管理 的 一 种 权限 控制 机 制 ,管理 员 可 以 给 一 
个 可 执行 程序 配置 相应 的 运行 权限 ,这 种 机 制 保证 按 管理 员 的 权限 配置 对 该 可 执行 程序 ( 实 
际 上 是 该 执行 程序 对 应 的 进程 ) 进 行 运行 权限 控制 。 

针对 应 用 程序 的 运行 权限 控制 给 该 应 用 程序 划 定 了 一 个 运行 权限 范围 ,防止 应 用 程序 
有 意 或 无 意 的 越过 该 运行 权限 ,对 操作 系统 和 其 他 应 用 程序 的 运行 构成 破坏 。 在 国外 的 操 
作 系 统 安全 相关 研究 中 ,这 类 权限 控制 机 制 被 称 为 sandbox, 在 多 种 安全 操作 系统 中 得 到 支 
持 和 应 用 。 要 在 本 章 原 型 系统 的 基础 上 实现 针对 指定 应 用 程序 的 运行 权限 管理 ,需要 重点 
考虑 以 下 问题 。 

1. 划 定 要 控制 的 权限 种 类 

要 实现 针对 应 用 程序 的 权限 控制 ,首先 要 确定 权限 控制 的 粒度 ,显然 权限 种 类 划分 粒度 
越 细 ,实现 就 越 复杂 ,这 就 需要 管理 员 更 加 详细 地 配置 应 用 程序 所 需 的 权限 ,当然 所 实现 的 
权限 控制 更 加 精确 ,也 更 接近 最 小 特权 原则 。 如 果 控 制 粒 度 过 粗 , 实 现 相 对 简单 ,但 权限 控 
制 不 够 精细 ,可 能 无 法 满足 安全 需要 。 综 合 来 看 ,一 个 实用 的 针对 应 用 程序 的 权限 控制 应 该 
重点 实现 对 下 列 权 限 的 控制 。 

。 文 件 访问 类 操作 。 这 类 操作 主要 包括 各 类 文件 (或 目录 ) 的 创建 ,打开 、 读 、 写 、 执 行 

(对 可 执行 文件 而 言 ) 以 及 删除 等 。 文 件 类 操作 对 系统 的 数据 安全 性 非常 重要 ,对 一 
个 应 用 程序 进行 权限 控制 要 优先 考虑 这 些 操作 对 应 的 操作 权限 。 

。 通信 类 操作 。 通 信 类 操作 代表 一 个 进程 与 外 界 ( 其 他 进程 或 主机 ) 的 交互 ,以 及 对 外 
界 影响 ,这 类 操作 具体 来 讲 主要 分 为 三 种 : 进程 间 的 数据 通信 ,具体 包括 共享 内 存 、 
消息 队列 、 有 名 管道 等 ; 进程 间 的 控制 类 通信 ,如 发 送 各 种 信号 等 ; 网 络 类 通信 , 即 
通过 SOCKET 等 方式 的 网 络 通信 。 
管理 类 操作 。 这 类 操作 的 执行 将 会 改变 操作 系统 的 配置 和 和 运行 状态 ,具体 有 : 关机 
或 重启 系统 ,内 核 模块 加 载 . 设 备 添加 、 挂 载 及 印 载 文件 系统 等 。 

2. 确定 LSM 框架 中 每 个 要 控制 操作 对 应 的 钩子 点 

本 章 的 开发 实践 过 程 展示 删除 文件 和 删除 目录 操作 所 对 应 的 钧 子 点 ,以 及 相应 的 控制 
函数 注册 过 程 。 在 确定 好 要 控制 的 操作 种 类 后 ,需要 逐个 对 照 LSM 所 支持 的 钩子 点 ,明确 
每 个 操作 会 经 过 LSM 的 哪个 钩子 点 ,从 而 编写 相应 的 控制 函数 注册 到 该 钧 子 点 。 不 难 理 
解 , 实 现 针对 应 用 程序 的 访问 控制 的 大 部 分 工作 量 就 是 实现 对 应 每 个 操作 的 控制 函数 ,数量 
可 能 多 达 几 十 个 。 

3. 确定 控制 的 主体 和 对 象 

在 实施 每 个 操作 的 控制 函数 时 ,钩子 函数 传递 进来 的 参数 和 系统 全 局 变量 体现 了 该 操 
作 的 上 下 文 信息 。 仅 仅 依靠 这 些 上 下 文 信息 多 数 时 候 并 不 能 直接 进行 权限 控制 判决 ,需要 
进一步 明确 操作 的 主体 和 被 操作 的 对 象 。 如 在 判断 创建 目录 操作 是 否 允 许 执行 的 钩子 函数 
(其 函数 原型 为 int (x inode_mkdir) (struct inode * dir, struct dentry * dentry，int 
mode)) 中 ,从 传 入 的 参数 中 可 以 解析 出 要 创建 的 新 目录 的 名 称 以 及 创建 的 路 径 ,尽管 从 全 
局 变量 current( 当 前 进程 的 PCB 结构 体 ) 可 以 获得 进程 的 PID( 进 程 标识 符 ) ,但 不 能 直接 获 
得 当前 进程 ( 即 实施 该 操作 的 主体 ) 对 应 程序 的 全 路 径 名 。 
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显然 管理 员 给 出 的 是 哪个 可 执行 程序 (用 全 路 径 名 表示 ) 能 否 访问 哪些 文件 (用 全 路 径 
表示 ) 这 类 的 权限 配置 信息 ,而 不 是 哪个 PID 的 进程 能 够 访问 哪个 索引 结 点 号 。 因 此 在 进 
行 该 开发 实践 时 要 重点 考虑 如 何 获取 每 个 操作 对 应 的 可 执行 文件 名 ,以 及 所 操作 的 实体 名 
称 ,必要 的 时 候 可 能 需要 借助 截获 其 他 LSM 操作 来 实现 ,如 截获 exec 操作 ,从 而 预先 建立 
起 PID 和 可 执行 文件 名 间 的 对 应 关系 等 。 

4. 权限 配置 的 存储 和 管理 

在 上 面 的 开发 实践 中 ,只 对 某 特 定 目录 下 的 文件 (或 子 目 录 ) 进 行 禁止 删除 的 保护 ,配置 
信息 只 有 一 个 目录 名 ,便于 将 配置 信息 传递 到 内 核 模块 中 ,内 核 中 也 方便 存储 管理 ,只 需 用 
一 个 字符 串 型 全 局 变量 ( 即 controlleddir) 保 存 即 可 。 实 现 一 个 针对 应 用 程序 的 访问 控制 机 
制 , 应 用 程序 可 能 会 涉及 到 多 个 访问 对 象 和 多 种 类 型 的 操作 ,因此 需要 对 权限 配置 .存储 、 管 
理 等 方面 进行 精心 设计 和 处 理 。 与 本 章 完 成 的 开发 实践 相 比 ,需要 实现 下 述 相关 功能 ， 
@ 权 限 的 配置 操作 (包括 权限 的 添加 、 删 除 及 修改 等 ) 以 及 相应 的 配置 工具 ; @ 权 限 配置 文 
件 , 要 求 管理 员 每 次 启动 都 重新 配置 某 应 用 程序 的 权限 是 不 合理 的 ,因此 需要 以 静态 文本 的 
形式 保存 已 经 存在 的 权限 配置 信息 ; @ 在 内 核 模块 中 ,需要 复杂 的 数据 结构 保存 权限 配置 
信息 。 


8.5.2 基于 LSM 的 程序 完整 性 保护 


上 节 中 的 开发 实践 是 从 限制 指定 应 用 程序 的 运行 权限 角度 来 进行 ,本 节 中 的 开发 实践 
从 相反 的 角度 进行 , 即 通过 权限 控制 技术 保证 指定 应 用 程序 的 完整 性 和 提供 可 靠 的 运行 环 
境 。 通 常 应 用 程序 的 完整 性 保护 涉及 到 以 下 三 个 方面 ,前 两 个 方面 为 相关 文件 的 静态 完整 
性 保护 ,后 一 个 方面 为 运行 过 程 中 的 动态 完整 性 保护 。 

。 可 执行 程序 文件 的 完整 性 保护 。 通 常 应 用 程序 对 应 的 可 执行 文件 ,一 旦 由 源 代码 编 
译 完成 后 ,就 无 需 再 进行 修改 ,当然 在 安装 到 其 他 计算 机 系统 上 运行 时 也 不 应 该 被 
修改 。 如 果 出 现 被 修改 的 情况 ,通常 是 因为 受到 了 病毒 的 感染 。 为 了 防止 应 用 程序 
的 可 执行 文件 被 病毒 感染 或 者 被 意外 删除 、 破 坏 等 ,需要 对 应 用 程序 的 可 执行 文件 
进行 写 和 删除 保护 ,这 在 LSM 框架 中 体现 为 禁止 一 切 “unlink" 或 者 以 写 方式 打开 
该 文件 的 操作 ,或 只 允许 授权 的 特定 程序 (如 系统 管理 工具 等 ) 删 除 该 可 执行 文件 。 
数据 和 配置 文件 的 完整 性 保护 。 对 很 多 应 用 程序 而 言 ,其 正常 运行 不 仅 需 要 一 个 
(或 组 ) 可 执行 文件 ,还 需要 相关 的 数据 文件 以 及 配置 文件 。 如 一 个 网 络 防火 墙 程 
序 , 既 有 可 执行 文件 ,也 有 控制 规则 相关 的 配置 文件 ,以 及 相应 的 日 志文 件 , 显 然后 
两 者 对 网 络 防火 墙 的 正常 运行 不 可 缺少 ,如 果 其 完整 性 受到 破坏 ,也 会 导致 网 络 防 
火 墙 的 功能 (或 部 分 功能 ) 失 效 。 通 常 而 言 ,这 类 文件 具有 明显 的 访问 特点 ,一 般 只 
有 该 应 用 程序 中 的 某 个 可 执行 程序 在 运行 过 程 中 才 需 访问 它们 ,如 防火 墙 配置 文 
件 , 通 常 只 有 防火 墙 配置 程序 才 可 能 去 修改 。 限 制 这 些 数 据 和 配置 文件 被 该 应 用 程 
序 外 的 可 执行 程序 访问 (尤其 是 修改 或 删除 操作 ) ,对 保证 该 应 用 程序 的 完整 性 及 正 
常 运行 具有 非常 重要 的 作用 。 
运行 中 的 进程 保护 。 应 用 程序 在 启动 运行 后 ,就 体现 为 一 个 (组 ) 进 程 ,从 安全 的 角 
度 来 讲 , 也 需要 对 该 进程 进行 动态 运行 保护 。 由 于 操作 系统 提供 了 进程 间 的 基本 隔 
离 机 制 ( 如 相互 独立 的 虚拟 地 址 空间 ) ,其 他 进程 并 没有 太 多 的 方式 干扰 指定 应 用 程 
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序 的 运行 。 在 所 能 进行 的 干扰 中 ,最 为 显著 的 一 条 是 恶意 终止 (或 kill) 该 应 用 程序 
的 进程 ,因此 需要 严禁 其 他 进程 恶意 终止 (或 kill) 该 进程 ,或 者 只 允许 在 特定 情况 下 
终止 该 进程 。 

在 明确 了 面向 指定 应 用 程序 的 完整 性 保护 需求 后 ,就 可 以 梳理 出 如 下 两 点 : 进行 哪 
些 种 类 的 权限 控制 ,如 何 定义 和 设置 应 用 程序 的 资源 类 型 , 即 可 执行 文件 、 数 据 文件 、 配 置 文 
件 等 ; @ 权限 配置 及 其 保存 方式 实现 等 关键 方案 。 结 合 上 面 的 原型 系统 的 开发 基础 ,就 可 
以 进行 相应 的 安全 机 制 实现 。 


8.5.3 ”基于 LSM 的 网 络 连接 控制 


LSM 框架 中 的 钧 子 点 不 仅 覆 盖 到 各 种 文件 操作 ,还 覆盖 各 种 网 络 通信 操作 。 如 果 在 相 
应 钩子 点 注册 控制 函数 ,就 能 够 对 各 种 网 络 连接 和 通信 操作 进行 控制 ,实现 类 似 于 
Windows 系统 下 个 人 防火 墙 的 大 致 功能 。 

基于 LSM 框架 实现 网 络 连 接 控 制 可 以 从 以 下 方面 构造 控制 逻辑 : 从 网 络 通信 的 主 
体 类 型 和 具体 参数 来 控制 ,如 限定 某 应 用 程序 或 某 用 户 的 进程 才能 进行 网 络 通 信 ; @@ 从 网 
络 通信 的 类 型 属性 进行 控制 ,如 TCP 通信 还 是 UDP 通信 ,本 机 进程 作为 服务 器 还 是 客户 端 
等 ; @ 从 通信 的 远程 对 象 上 进行 控制 ,如 只 能 与 指定 IP 地 址 和 端口 进行 通信 。 

对 照 Linux 2. 6. 18 内 核 版 本 security_options 结构 体 ,网 络 连 接 和 通信 控制 相关 的 钧 
子 点 及 相应 的 钧 子 函 数 原型 主要 有 以 下 几 个 。 

® int (x socket_create) (int family, int type, int protocol，int kern); 
该 钩子 函数 在 创建 socket 时 调用 。 
int (* socket_bind) (struct socket * sock, struct sockaddr * address, int addrlen); 
该 钧 子 函数 在 socket 绑 定 地 址 时 调用 。 
int (# socket_connect) (struct socket * sock, struct sockaddr * address,int addrlen); 
该 钩子 函数 在 向 服务 器 发 起 网 络 连 接 时 调用 。 
int (*#x socket_listen) (struct socket * sock, int backlog); 
该 钩子 函数 在 服务 器 监听 连接 时 调用 。 
int (* socket_accept) (struct socket * sock, struct socket * newsock); 
该 钩子 函数 在 服务 器 接收 连接 时 调用 。 
int (#x socket_sendmsg) (struct socket * sock, struct msghdr * msg，int size); 
该 钩子 函数 在 数据 发 送 时 调用 。 
int (* socket_recvmsg) (struct socket * sock, struct msghdr * msg, int size, int flags); 
该 钧 子 函数 在 数据 接收 时 调用 。 

设计 好 网 络 连 接 的 控制 逻辑 ,以 及 找到 实现 这 些 控制 允 辑 的 钧 子 点 ,就 可 以 用 控制 函数 
实现 预定 的 控制 逻辑 ,然后 注册 这 些 函数 到 相应 的 钧 子 点 ,就 可 以 实现 所 希望 的 网 络 连接 控 
制 功能 。 


8.5.4 ”基于 LSM 的 基本 型 文件 保险 箱 


对 一 个 多 用 户 系统 (或 网 络 上 的 主机 系统 ) ,尽管 操作 系统 对 用 户 数据 提供 了 相应 的 访 
问 控 制 机 制 ,单个 用 户 的 数据 仍 面临 多 种 泄密 的 安全 威胁 ,如 对 数据 文件 的 权限 设置 不 正 
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确 ,系统 感染 一 些 木 马 病毒 等 。 如 果 能 够 从 操作 系统 层面 提供 相应 的 控制 机 制 ,实现 一 个 类 
似 保险 箱 的 数据 保护 系统 (下 面 称 文件 保险 箱 ), 可 以 对 用 户 的 重要 数据 提供 特殊 的 保护 。 
文件 保险 箱 的 基本 思想 如 下 : 
设置 一 个 文件 夹 (下 称 保险 箱 文 件 夹 ) 用 作文 件 保 险 箱 的 数据 存储 ,同时 开发 一 个 保 
险 箱 数 据 管理 程序 。 
保险 箱 数据 管理 程序 用 于 实现 保险 箱 文件 的 管理 ,该 程序 相当 于 文件 保险 箱 的 钥 
匙 ,负责 完成 相关 的 保险 箱 数据 操作 ,比如 向 保险 箱 中 保存 文件 和 从 保险 箱 中 取出 
交 件 。 
保险 箱 数据 管理 程序 是 唯一 能 够 访问 保险 箱 文件 夹 下 文件 的 程序 ,该 保险 箱 文件 夹 
中 的 文件 对 于 保险 箱 数据 管理 程序 外 的 其 他 程序 都 是 不 可 见 的 ,也 是 不 可 访问 的 。 
保险 箱 数据 管理 程序 在 启动 时 会 验证 用 户 的 身份 ,如 果 发 现 不 是 该 保险 箱 的 用 户 运 
行 该 程序 操作 文件 保险 箱 时 ,该 程序 会 拒绝 运行 。 
通过 上 面 开发 实践 中 的 技术 ,禁止 任何 对 该 保险 管理 程序 的 删除 、 修 改 、 调 试 分 析 ， 
以 防止 黑客 通过 修改 或 分 析 该 程序 ,截获 用 户 的 身份 认证 信息 (口令 等 ) 。 

实现 文件 保险 箱 系统 的 关键 在 于 两 点 : 屏蔽 和 拒绝 保险 箱 数据 管理 程序 外 的 程序 访 
问 保 险 箱 文件 夹 下 的 文件 ,通过 配置 和 修改 上 面 的 开发 实践 可 以 很 方便 地 禁止 其 他 程序 访 
问 该 文件 夹 , 至 于 屏蔽 其 他 程序 对 该 文件 夹 的 可 见 性 ,需要 另行 设计 和 注册 其 他 文件 访问 点 
的 钩子 函数 ; 四 对 保险 箱 数据 管理 程序 的 保护 ,通过 设计 和 注册 相关 的 钩子 函数 ,在 操作 系 
统 层面 上 保证 该 程序 不 被 算 改 和 调试 分 析 。 

这 里 的 文件 保险 箱 只 实现 了 访问 控制 的 功能 ,没有 对 其 中 的 数据 进行 加 密 , 一 旦 保险 箱 
文件 夹 的 存储 载体 脱离 了 该 系统 ,如 磁盘 丢失 等 ,就 可 能 造成 数据 泄密 。 对 比 9. 5. 3 节 中 提 
到 的 具有 数据 加 密 功能 的 文件 保险 箱 , 本 书 称 这 里 的 文件 保险 箱 为 基本 型 文件 保险 箱 。 


8.5.5 基于 LSM 的 系统 级 资源 访问 审计 


从 本 章 前 面 的 开发 实践 中 可 知 ,Linux 在 进行 资源 访问 操作 时 ,LSM 框架 会 调用 注册 
在 相应 位 置 的 钩子 函数 ,询问 特定 访问 上 下 文 的 访问 判决 。 因 而 可 以 在 钩子 函数 中 完成 访 
问 上 下 文 信息 的 收集 ,从 而 实现 一 个 简单 的 资源 访问 审计 系统 。 

通过 分 析 LSM 框架 中 的 钩子 点 可 知道 ,由 于 要 向 注册 的 钩子 函 数 询问 操作 是 否 可 以 
执行 ,然后 根据 钩子 函数 的 返回 结果 再 进行 操作 实施 或 者 拒绝 该 操作 实施 ,因此 LSM 框架 
中 除 一 小 部 分 钧 子 点 是 因 其 他 原因 (相关 的 信息 更 新 等 ) 在 操作 完成 之 后 调用 外 , 绝 大 部 分 
的 钩子 函数 都 在 访问 操作 发 生 之 前 调用 。 因 此 在 形成 操作 日 志 时 ,关于 操作 是 否 成 功 的 记 
录 并 不 能 保证 一 定 正 确 。 

这 里 以 删除 文件 (inode_unlink) 对 应 的 钧 子 点 为 例 来 说 明日 志 中 记录 项 不 准确 的 原因 。 
从 传 入 钩子 函数 的 参数 可 以 分 析出 发 起 删除 操作 的 进程 标识 、 用 户 标识 、 对 应 的 应 用 程序 、 
要 删除 的 文件 名 等 。 这 时 候 删 除 操作 还 没有 真正 发 生 , 这 个 操作 是 否 真正 发 生 并 不 完全 取 
决 于 钩子 函数 的 返回 值 。 

如 果 该 钩子 函数 的 控制 逻辑 不 允许 删除 该 文件 , 则 将 会 返回 拒绝 ,该 条 操作 日 志 毫 无 疑 
问 可 以 记录 为 删除 操作 不 成 功 ,因为 LSM 框架 在 接收 到 钓 子 函数 的 拒绝 结果 后 ,不 会 真正 
实施 该 操作 ; 如 果 该 钩子 函数 的 控制 逻辑 允许 删除 该 文件 , 则 将 会 返回 同意 删除 该 文件 ,这 
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时 如 果 将 该 条 操作 日 志 记录 为 删除 操作 成 功 还 有 些 武 断 , 因 为 不 能 排除 其 他 原因 导致 文件 


删除 最 终 没 有 成 功 。 
如 前 所 述 ,尽管 基于 LSM 框架 实现 访问 日 志 系 统 存 在 一 定 的 缺点 ,但 这 样 的 一 个 日 志 


系统 还 是 有 非常 明显 的 作用 ,管理 员 可 以 据 此 发 现 系统 中 的 进程 恶意 操作 以 及 用 户 恶意 行 
为 。 进 行 这 样 的 安全 开发 实践 对 理解 LSM 的 安全 机 制 和 内 核 模块 编程 具有 很 好 的 帮助 。 

本 章 完成 的 基于 LSM 的 资源 访问 控制 实践 只 是 实现 一 个 简单 的 原型 系统 ,本 节 详 细 
阐述 了 在 该 原型 系统 基础 上 能 够 进行 下 一 步 开 发 实践 的 五 个 目标 和 开发 方向 ,有 兴趣 的 读 
者 可 以 在 本 章 开发 的 原型 系统 基础 上 自行 实现 。 


8.6 本 章 小 结 


本 章 详 细 曾 述 了 一 个 基于 LSM 机 制 的 文件 访问 控制 系统 原型 的 开发 过 程 和 源 代 码 实 
现 , 该 原型 系统 重点 在 于 展示 LSM 机 制 的 工作 原理 ,以 及 如 何 利用 LSM 机 制 以 内 核 模块 
的 形式 实现 资源 访问 控制 的 开发 方法 ,而 不 是 提供 一 个 完整 的 资源 访问 控制 系统 ,因此 本 开 
发 实践 只 是 对 文件 和 目录 的 删除 操作 进行 了 访问 控制 。 

本 章 的 开发 实践 除了 涉及 LSM 机 制 外 ,还 展示 了 其 他 一 些 软件 开发 技术 ,具体 包括 : 
如 何 注 册 一 个 新 的 字符 设备 ,以 及 实现 相应 的 驱动 程序 ; 如 何 进 行 Linux 内 核 模块 的 开发 、 
编译 等 ; 如 何 进行 Linux 内 核 的 编译 及 安装 等 。 

本 章 最 后 详细 讨论 在 原型 系统 的 基础 上 所 能 进行 的 具有 实际 安全 意义 的 扩展 开发 实 
践 。 有 兴趣 的 读者 可 以 在 此 原型 系统 的 基础 上 ,按照 8. 5 节 中 的 扩展 开发 实践 题目 进行 下 
一 步 的 开发 实践 。 


习 题 


1. 举例 说 明 8. 5.4 节 中 拟 扩 展 的 文件 保险 箱 系统 所 存在 的 泄密 隐患 ,以 及 如 何 消除 该 
隐患 。 

2. 从 审计 信息 的 完整 性 上 看 ,8. 5. 5 节 中 基于 LSM 的 系统 级 资源 访问 审计 系统 的 实 
现 方案 存在 哪些 缺点 ? 

3. 基于 LSM 机 制 实 现 基本 型 文件 保险 箱 时 ,没有 对 存储 在 保险 箱 文件 夹 中 的 数据 进 
行 加 密 处 理 , 是 否 可 以 通过 LSM 机 制 实现 加 密 型 文件 保险 箱 ? 如 果 能 够 实现 ,应 该 在 何 处 
完成 数据 的 加 密 和 解密 过 程 ? 

4. 基于 新 创建 设备 文件 的 方式 实现 内 核 层 和 应 用 层 之 间 的 数据 通信 时 ,需要 完成 哪些 
工作 %? 

5. 基于 新 创建 设备 文件 的 方式 实现 内 核 屋 和 应 用 层 之 间 的 数据 通信 时 ,如 果 在 设备 驱 
动 中 未 给 某 操作 类 型 设置 相应 的 处 理 函 数 ,而 应 用 程序 无 意 中 调用 了 设备 文件 的 该 类 操作 ， 
如 本 章 的 开发 实践 中 上 层 配置 程序 对 设备 文件 执行 了 读 (Cread) 操 作 ,将 会 出 现 怎 样 的 后 果 ? 

6. 在 基于 新 创建 设备 文件 的 方式 实现 内 核 层 和 应 用 层 之 间 的 数据 通信 时 ,应 用 层 的 文 
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件 访 问 操作 是 如 何 关联 到 内 核 中 所 注册 的 设备 驱动 函数 的 ? 
7. 在 设计 和 实现 LSM 的 钧 子 函 数 时 ,函数 名 是 否 有 特殊 的 约定 , 即 是 否 可 以 自行 任意 
命名 ? 另外 ,每 个 钩子 函数 的 形 参数 量 、 各 形 参 名 称 及 各 形 参 类 型 是 否 也 可 以 自行 定义 ? 
8. 简单 曾 述 如 何 解析 一 个 类 型 为 struct dentry 的 结构 体 变量 对 应 的 全 路 径 名 ? 
9. 在 系统 调用 函数 (或 设备 驱动 函数 ) 的 实现 中 ,为 何不 能 直接 访问 应 用 层 传 来 的 缓冲 
区 ,而 要 通过 copy_to_user/copy_from_user 函数 来 间接 访问 这 些 缓冲 区 ? 
0. 在 本 章 的 开发 实践 中 ,新 编写 的 内 核 模块 加 载 时 主要 完成 哪些 工作 ? 
1. 在 本 章 中 提 到 的 基于 LSM 的 程序 运行 权限 控制 的 开发 实践 中 ,重点 需要 对 哪 几 类 
权限 进行 控制 ? 
2. 基于 LSM 机 制 ,通过 注册 钧 子 函 数 的 方法 实现 系统 级 的 资源 访问 日 志 存 在 什么 样 
的 缺点 ? 
3. 如 果 一 个 文件 内 容 是 加 密 过 的 ,是 否 可 以 基于 LSM 机 制 , 在 所 注册 的 相应 钩子 函 
数 中 实现 文件 读 取 内 容 的 解密 ? 
4. 简 述 对 Linux 系统 进行 内 核 版 本 升级 的 大 致 操作 流程 。 


第 9 章 基于 系统 调用 重 载 的 文件 
访问 日 志 原 型 实现 


本 章 主要 闸 述 如 何 基于 Linux 的 系统 调用 重 载 技术 实现 一 个 文件 访问 日 志 系 统 原 型 。 
下 面 首先 介绍 该 文件 访问 日 志 原 型 系统 的 总 体 设计 ,然后 介绍 该 原型 系统 的 源 代码 实现 过 
程 ,最 后 介绍 该 原型 系统 的 测试 过 程 ,以 及 在 此 原型 系统 上 的 扩展 开发 实践 。 


9.1 原型 系统 的 总 体 设计 


在 安全 系统 中 ,日 志 的 重要 性 是 母 庸 置疑 的 ,可 以 协助 管理 员 发 现 系统 中 的 一 些 异 常 行 
为 或 系统 中 存在 的 一 些 安全 隐患 。 本 章 开发 实践 的 目的 在 于 用 一 个 具体 实例 展现 如 何 基于 
系统 调用 重 载 技术 实现 一 个 系统 级 日 志 系 统 的 基本 思路 和 方法 ,而 不 是 要 实现 一 个 完整 的 、 
能 够 直接 使 用 的 日 志 系统 。 

本 章 开发 的 日 志 原 型 系统 比较 简单 ,只 对 文件 访问 操作 进行 记录 ,而 且 记 录 的 内 容 限 于 
简单 的 几 项 ,包括 程序 名 、 用 户 名 ,访问 方式 ( 仅 限于 读 或 者 写 ) 、 所 访问 的 文件 名 以 及 具体 的 
访问 时 间 。 任 何 进 程 要 进行 文件 的 读 写 等 访问 操作 前 ,都 需要 调用 open 系统 调用 打开 文 
件 , 因 此 本 开发 实践 中 日 志 系 统 的 实现 主要 靠 重 载 open 系统 调用 的 处 理 函数 ,并 分 析 函 数 
ete i 记录 所 需 的 访问 上 下 文 信息 。 另 外 为 了 防止 系统 运行 过 程 中 产生 大 量 的 

志 信 息 进而 影响 系统 性 能 ,这 里 只 对 特定 目录 (默认 为 /root/testaudit) 下 的 文件 执行 读 写 
ne 进行 日 志 记 录 。 

本 章 的 原型 系统 分 为 两 个 部 分 独立 实现 : 一 部 分 是 完成 日 志 信息 收集 的 Linux 内 核 模 
块 ,该 模块 借助 系统 调用 重 载 技 术 , 从 每 一 次 的 open 系统 调用 获得 文件 读 写 操 作 的 日 志 信 
息 ,并 且 通 过 Netlink 机 制 将 获得 的 日 志 数 据 发 往 应 用 层 ; 另 一 部 分 是 运行 在 应 用 层 的 日 志 
应 用 程序 ,该 程序 接收 从 内 核 层 以 Netlink 机 制 发 送 来 的 日 志 信 息 , 然 后 以 格式 化 的 形式 存 
储 在 指定 的 日 志文 件 中 。 

本 章 原型 系统 的 逻辑 结构 如 图 9-1 所 示 。 

该 系统 的 内 核 模块 部 分 主要 完成 open 系统 调用 的 重 载 ,以 及 相关 文件 访问 操作 的 日 志 
信息 收集 。 从 功能 上 划分 ,该 模块 主要 包含 以 下 四 个 部 分 : 

。 内 核 模块 初始 化 函数 。 该 函数 主要 完成 两 方面 的 工作 ,一 是 完成 open 系统 调用 的 

重 载 , 即 通过 一 定 的 技术 手段 获得 系统 调用 入 口 表 的 地 址 ,将 该 表 中 对 应 open 系统 
调用 的 处 理 函 数 入 口 地 址 替换 成 本 开发 实践 中 自己 设计 的 函数 , 即 操作 信息 收集 函 
数 ,同时 将 原 有 open 系统 调用 的 处 理 函数 入 口 地 址 保存 起 来 ; 二 是 完成 Netlink 接 
口 的 初始 化 工作 ,包括 创建 相应 的 套 接 字 接口 ,以 及 获得 后 台 应 用 程序 的 PID( 进 程 
标识 符 ) ,以 便于 将 来 能 够 将 日 志 信息 定向 发 送 到 日 志 应 用 程序 。 内 核 模 块 初始 化 
函数 在 内 核 模块 加 载 时 会 被 Linux 内 核 自 动 调用 。 
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内 核 模块 注销 函数 。 该 函数 在 内 核 模块 注销 时 被 Linux 内 核 自 动 调用 。 该 函数 完 
成 与 内 核 模块 初始 化 函数 相反 的 工作 ,即将 系统 调用 入 口 表 中 open 系统 调用 的 处 
理 函数 入 口 地 址 恢复 为 原来 的 open 系统 调用 处 理 函 数 入 口 地 址 。 另 外 ,该 函数 还 
需要 回收 为 Netlink 套 接 字 接 口 所 分 配 的 资源 。 

操作 信息 收集 函数 。 操 作 信息 收集 函数 的 入 口 地 址 一 旦 被 内 核 模块 初始 化 函数 写 
入 到 open 系统 调用 的 处 理 函 数 入 口 地 址 表 项 中 ,每 当 Linux 发 生 open 系统 调用 
时 ,该 操作 信息 收集 函数 就 会 自动 被 Linux 内 核 调用 。 该 函数 的 主要 功能 是 分 析出 
该 open 调用 的 上 下 文 信息 ,如 调用 open 进程 的 进程 标识 符 及 用 户 标 识 符 、 打 开 文 
件 的 文件 名 、 文 件 打 开 方 式 ( 读 、 写 等 ) 等 。 该 函数 的 男 一 项 重要 工作 是 调用 原来 的 
open 系统 调用 处 理 函数 ,以 完成 open 系统 调用 应 该 完成 的 原 有 功能 。 

基于 Netlink 的 日 志 信 息 发 送 。 该 部 分 主要 将 操作 信息 收集 函数 收集 到 的 日 志 信 息 
构造 成 相应 的 Netlink 报 文 ,然后 通过 Netlink 接口 将 该 报 文 发 送 到 应 用 层 的 日 志 
应 用 程序 。 


| | 从 Netlink 接 11 
! 读 取 日 


应 用 层 


SR a 中 内 核 层 
Te -| | 措 作 信息 和 .此 于 Netlink 日 


pg] > 集 欧 数 1 1 志 信 息 发 送 ! 
统 | ， | 二 二 二 让 
人 TB 1 
『 原 open 测 用 1 L 化 鸭 数 ! L_ 略 数 


1 处 理 函 数 ! 内 核 模块 


图 9-1 基于 系统 调用 重 载 的 文件 访问 日 志 系统 逻辑 结构 


该 系统 中 的 日 志 应 用 程序 主要 完成 下 列 几 项 功能 : 四 从 Netlink 接口 读 取 从 内 核 层 发 


送 来 的 


日 志 信 息 ; 回 将 读 取 来 的 日 志 信 息 转化 成 可 读 的 格式 ,并 保存 在 用 户 指 定 的 日 志文 


件 中 。 该 日 志 应 用 程序 以 命令 行 的 方式 启动 ,命令 格式 为 : 


auditdaemon filename # filename 为 用 户 指定 的 日 志文 件 名 

auditdaemon # 若 filename 为 空 ,默认 日 志文 件 为 当前 目录 下 的 log 

其 中 auditdaemon 为 日 志 应 用 程序 的 可 执行 文件 名 。 如 果 要 停止 日 志 应 用 程序 的 运 
行 ,可 先 通过 ps 命令 查看 该 日 志 应 用 程序 的 进程 号 ,然后 通过 kill 命令 结束 该 日 志 应 用 程 
序 即 可 。 


9.2 ”内核 日 志 模 块 的 实现 


同 第 8 章 进行 的 LSM 安全 模块 开发 一 样 ,基于 系统 调用 重 载 技术 实现 内 核 日 志 模 块 
也 要 使 用 Linux 原 基本 内 核 中 的 各 种 资源 或 信息 ,本 节 首 先 介绍 该 内 核 模块 开发 时 要 用 到 
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的 外 部 函数 和 结构 。 
9.2.1 涉及 的 外 部 函数 及 结构 


在 本 章 原型 系统 的 实现 中 需要 涉及 以 下 的 数据 结构 及 函数 。 
1. 结构 体 tast_struct fs_struct 及 变量 current 


进程 控制 块 (Process Control Block,PCB) 是 操作 系统 中 的 重要 概念 ,是 操作 系统 进行 
进程 管理 的 基础 ,其 中 包含 了 进程 相关 的 各 种 信息 ,如 进程 的 各 类 标识 信息 等 。 操 作 系 统一 
旦 创建 一 个 进程 ,就 会 为 该 进程 分 配 一 个 PCB。 在 Linux 操作 系统 中 ,PCB 对 应 的 结构 体 
名 称 为 tast_struct, 该 结构 体 定义 在 Linux 内 核 源 代码 目录 下 的 include/linux/sched.h 文 
件 中 。task_struct 是 一 个 非常 复杂 的 结构 ,其 中 包含 近 百 个 字段 。 在 本 开发 实践 中 主要 用 
到 以 下 几 个 字段 : 


struct task_struct { 
Bi pid; // 该 进程 对 应 的 进程 标识 符 
i uid, euid, suid, fsuid; //uid 表示 该 进程 对 应 的 用 户 标识 符 
ai comm[ TARSK_COMM_LEN]; /* 该 进程 对 应 的 可 执行 文件 名 (不 含 目录 名 ), 限 于 16 字 节 长 * / 
fs_struct * fs) // 与 该 进程 相关 的 文件 系统 信息 
}; 


日 志 信息 收集 的 主要 工作 就 是 获取 open 操作 的 上 下 文 信息 。 从 open 系统 调用 的 处 理 
函数 原型 ( 即 int open(char * filename, int flags, int mode);) 可 知 , 从 open 系统 调用 的 参 
数 和 原 处 理 函 数 的 返回 值 中 ,可 以 获得 文件 打开 操作 的 部 分 上 下 文 信息 ,具体 为 : 从 参数 
filename 获得 要 打开 文件 的 文件 名 ,从 参数 flags 中 获得 文件 打开 的 方式 ( 读 、 写 等 ), 从 返回 
值 中 可 以 获知 打开 操作 是 否 成 功 。 

要 获得 执行 该 文件 打开 操作 的 主体 的 相关 信息 (如 进程 标识 符 、 用 户 标识 符 、 可 执行 程 
序 名 等 ) ,需要 访问 执行 该 open 系统 调用 的 进程 的 PCB。 在 Linux 系统 中 ,可 通过 直接 访问 
变量 current 的 方式 ,查找 出 执行 该 open 系统 调用 的 进程 的 PCB。current 是 一 个 全 局 性 的 
指针 变量 ,指向 正在 执行 进程 的 进程 控制 块 结构 ,通过 访问 变量 current 所 指向 结构 的 相关 
域 就 能 获得 执行 文件 打开 操作 的 主体 的 相应 信息 ,具体 为 : 从 current 一 二 pid 获得 执行 该 
次 文件 打开 操作 进程 的 进程 标识 符 , 从 current 一 二 uid 获得 该 进程 的 用 户 标 识 符 , 从 
current 一 盖 comm 获得 该 进程 的 可 执行 程序 名 。 

用 户 如 在 编程 中 使 用 过 open 系统 调用 就 不 难 发 现 ,直接 通过 参数 filename 中 的 内 容 来 
确定 日 志 记 录 中 对 应 此 打开 操作 的 文件 名 并 不 合适 。 因 为 flename 中 的 文件 名 可 能 是 从 
根 目录 开始 的 全 路 径 名 ( 即 绝对 路 径 ) ,也 可 能 是 从 进程 所 在 当前 目录 开始 的 局 部 路 径 名 ( 即 
相对 路 径 )。 显 然 , 作 为 文件 操作 日 志 应 记录 所 操作 文件 的 全 路 径 名 ,如 果 记 录 了 相对 路 径 
名 ,管理 员 看 到 该 条 日 志 记 录 并 不 能 确定 哪个 文件 是 被 访问 的 ,因为 如 果 不 考 虑 所 在 目录 的 
不 同 , 系 统 中 经 常会 存在 多 个 同名 的 文件 。 
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若 filename 中 的 文件 名 为 相对 路 径 名 ,要 获得 该 文件 的 全 路 径 名 ,需要 获得 从 根 目录 
到 当前 目录 的 路 径 名 ,然后 与 已 有 的 相对 路 径 名 拼合 在 一 起 ,就 能 形成 一 个 全 路 径 文件 名 。 
要 获得 当前 目录 的 路 径 名 就 需要 用 到 current 一 二 fs, current 一 之 fs 指向 一 个 类 型 为 
fs_struct 的 结构 体 , 该 结构 体 定义 在 Linux 内 核 源 代码 目录 下 的 include/ 文 件 中 ,用 于 保存 
单个 进程 相关 的 文件 系统 设置 ,具体 结构 如 下 : 


struct fs_struct { 
atomic_t count; 
rwlock t lock; 
int umask; 
struct dentry * root, x pwd, * altroot; 
struct vfsmount * rootmnt, * pwdmnt, * altrootmnt; 
}; 
其 中 pwd 指向 了 类 型 为 struct dentry 的 目录 项 结构 。 通 过 current 一 二 fs 一 二 pwd 可 
以 获得 该 进程 的 当前 目录 的 目录 项 结构 。 本 书 的 8. 3. 1 节 详 细 曾 述 了 如 何 通 过 目录 项 结构 
获得 对 应 的 目录 路 径 , 用 类 似 的 方法 可 以 获得 进程 当前 目录 的 路 径 , 拼 合 上 相对 路 径 的 文件 
名 ,就 能 获得 一 个 全 路 径 文件 名 。 
2. 结构 体 struct sk_buff struct nlmsghdr struct iovec 
由 于 应 用 层 和 内 核 层 的 地 址 空间 不 同 ,作为 运行 在 应 用 层 的 日 志 应 用 程序 并 不 能 直接 
读 取 内 核 模块 收集 到 的 日 志 信息 ,因此 需要 专门 的 机 制 完 成 内 核 层 和 应 用 层 之 间 的 数据 传 
递 。 在 本 章 的 开发 实践 中 , 拟 采 用 Netlink 机 制 完 成 内 核 层 和 应 用 层 间 的 数据 交换 。 在 将 
待 传递 的 数据 构造 成 Netlink 数据 包 的 过 程 中 ,需要 涉及 到 如 下 的 数据 结构 , 即 struct sk_ 
buff\struct nlmsghdr 及 struct iovec。 
结构 体 sk_buff 是 操作 系统 实现 网 络 协议 的 重要 结构 ,通常 每 个 网 络 报 文 (无 论 是 要 发 
送 的 报 文 ,还 是 从 网 络 接口 接收 到 的 外 部 报 文 ) 都 存在 对 应 的 sk_buff 结构 体 ,该 结构 体 存储 了 
报 文 所 有 的 相关 信息 , 供 网 络 协议 中 的 各 子 系统 使 用 。sk_buff 结构 体 比较 复杂 ,有 多 达 五 十 
个 以 上 的 成 员 变 量 , 具 体 可 以 参见 Linux 的 内 核 源 代码 文件 include/Linux /skbuff. h。 
在 进行 本 开发 实践 时 ,会 涉及 到 对 该 结构 体 相关 成 员 变 量 的 访问 ,主要 有 : 
。 len: 报 文中 数据 载荷 的 长 度 。 
。 data: 报 文 的 数据 载荷 ,该 数据 载荷 是 相对 于 IP 协议 层次 而 言 的 ,Netlink 的 消息 头 
等 也 包含 在 该 数据 载荷 中 。 
有 关 Netlink 消息 的 构造 以 及 相关 的 数据 结构 将 在 本 章 的 下 一 节 曾 述 。 
3. 外 部 函数 
在 本 章 下 面 的 开发 实践 中 ,将 会 用 到 Linux 内 核 中 的 多 个 外 部 函数 ,为 便于 理解 下 面 的 
实现 代码 ,这 里 先 介绍 几 个 重要 的 外 部 函数 。 
struct sock * netlink_kernel_create(int unit, unsigned int groups，void (* input) 
(struct sock * sk, int len), struct module * module); ”该 函数 用 于 创建 一 个 
Netlink 类 型 的 套 接 字 接口 。 一 旦 函数 执行 成 功 , 该 郴 数 返回 一 个 套 接 字 接口 指针 ， 
指向 成 功 创建 的 套 接 字 接口 。 该 函数 的 具体 参数 含义 如 下 : 
* unit: Netlink 的 协议 类 型 号 ,必须 与 上 层 程序 中 的 Netlink 协议 号 相 一 致 ,这 样 才 
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能 基于 该 套 接 字 与 上 层 程序 的 套 接 字 建立 起 对 应 关系 ,从 而 完成 通信 。 
* groups: Netlink 套 接 字 的 组 标识 ,这 里 设置 为 0 即 可 。 
(#*input)(Cstruct sock * sk, int len): 回调 函数 的 地 址 指针 ,一 旦 有 报 文 到 达 该 
套 接 字 接 口 ,Netlink 机 制 会 自动 调用 该 函数 设置 的 回调 函数 ,同时 将 对 应 的 套 接 
字 标 识 及 长 度 传递 给 回调 函数 。 

* module: 为 安全 起 见 , 指 定 使 用 该 套 接 字 的 范围 ,该 参数 在 模块 编程 中 通常 设 为 
THIS_MODULE, 意 即 在 当前 模块 ( 即 创建 该 套 接 字 的 模块 ) 中 使 用 该 套 接 字 。 
int netlink_unicast(struct sock * ssk, struct sk_buff * skb, _u32 pid, int nonblock); 
该 函数 用 于 向 指定 的 进程 (由 参数 pid 标识 ) 发 送 一 个 Netlink 消息 。 参 数 ssk 为 函 
数 netlink_kernel_create() 返 回 的 套 接 字 , 即 指明 向 哪个 套 接 字 接 口 发 送 消息 。 参 
数 skb 存放 待 发 送 的 消息 , 它 的 data 域 指 向 要 发 送 的 Netlink 消息 结构 ,而 skb 的 
控制 块 保存 了 消息 的 地 址 信息 。 参 数 pid 为 接收 消息 进程 的 PID。 参 数 nonblock 
表示 该 函数 是 否 为 非 阻塞 ,如 果 为 1, 该 函数 将 在 没有 接收 缓存 可 利用 时 立即 返回 ; 

如 果 为 0, 该 函数 在 没有 接收 缓存 可 利用 时 睡眠 。 
struct sk_buff * skb_dequeue(struct sk_buff_head * list); 该 函数 用 于 取得 
Netlink 接收 队列 上 的 消息 ,返回 一 个 struct sk_buff 结构 指针 ,该 结构 中 的 data 域 
指向 实际 的 Netlink 消息 。 在 本 章 的 开发 实践 中 ,该 函数 在 Netlink 套 接 字 的 回调 
函数 中 调用 , 当 有 报 文 到 达 该 套 接 字 后 ,回调 函数 通过 调用 该 函数 获得 一 个 消息 ( 即 
所 对 应 的 sk_buff 结构 指针 ) ,然后 再 处 理 接 收 到 的 消息 。 

对 8. 3.1 节 中 已 经 介绍 过 的 外 部 结构 和 函数 ,这 里 不 再 袭 述 。 另 外 ,一 些 常见 的 工具 函 
数 , 如 内 存 分 配 函 数 (kmalloc) 缓存 区 初始 化 函数 (memset)、 字 符 串 复制 函数 (strpcy)、 字 
符 串 比较 函数 (strcpy/strncpy) 等 ,对 很 多 读者 而 言 并 不 陌生 ,这 里 就 不 再 详细 阐述 。 


9.2.2 头 文件 .全 局 变量 及 声明 


» 


1. 该 系统 原型 实现 涉及 到 的 头 文件 


# include <Linux/module.h> // 进 行内 核 模块 编程 所 必须 包含 的 头 文件 
# include <Linux/kernel.h> 

# include <Linux/init.h> 

#include <Linux/syscalls.h> 

# include <Linux/file.h> 

#include <Linux/fs.h> // 下 面 的 代码 设计 中 用 到 文件 相关 的 操作 
# include <Linux/string.h> 

# include < Linux/mm.h> 

# include <Linux/sched.h> 

# include <Linux/unistd.h> 

# include < net/sock.h> 

# include < net/netlink.h>  // 使 用 Netlink 机 制 所 必需 的 头 文件 


宏 定 义 包括 : 


#define TASK_COMM LEN 16 // 进 程 对 应 的 可 执行 文件 名 长 度 
#define Netlink TEST 29 /* 日 志 应 用 程序 和 内 核 模 块 约定 用 于 传递 信息 的 Netlink 协议 号 */ 
# define AUDITPATH "/root/TestAudit” // 对 该 目录 下 的 文件 访问 才 被 记录 下 来 
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#define MAX_LENGTH 256 // 文 件 名 的 最 大 长 度 
2. 本 系统 原型 源 代码 实现 中 的 全 局 变量 


void x*x sys_call table; // 指 向 系统 调用 入 口 表 的 地 址 

asmlinkage long ( * orig open) (const char * pathname, int flags, mode t mode); /x* 用 于 保存 原 
来 的 open 系统 调用 处 理 函 数 地 址 * / 

static u32 pid = 0; // 与 内 核 模块 进行 Netlink 通信 的 日 志 应 用 程序 的 进程 标识 符 

static struct sock *nl_sk = NULL; // 用 于 Netlink 通信 的 套 接 字 

3. 函数 声明 


在 8.3 节 中 已 经 详细 阐述 了 程序 员 要 主动 声明 内 核 模块 的 初始 化 函数 和 注销 函数 的 原 
因 ,在 本 开发 实践 中 ,内 核 模块 的 初始 化 函数 和 注销 函数 声明 如 下 : 

module init(audit init); 

module exit(audit exit); 

其 中 函数 audit_init() 和 函数 audit_exit() 是 本 章 开发 实践 中 自行 编写 的 两 个 函数 。 前 
者 用 于 open 系统 调用 处 理 函 数 入 口 地 址 的 重 载 ,以 及 进行 Netlink 接口 的 初始 化 工作 。 后 
者 完成 与 前 者 相反 的 工作 , 即 在 系统 调用 入 口 地 址 表 中 恢复 原来 的 open 系统 调用 处 理 函 数 
地 址 ,并 撤销 已 创建 的 Netlink 接口 。 

与 8.3 节 中 同样 的 理由 ,这 里 也 通过 宏 MODULE_LICENSE 声明 此 模块 的 许可 证 , 具 
体 为 : 

MODULE_LICENSE("GPL" ) ; 

4. 结构 定义 

在 系统 的 中 断 向 量 表 中 ,每 个 中 断 对 应 一 个 结构 体 struct idt_descriptor, 通 过 该 结构 可 
直接 获得 中 断 处 理 函 数 的 入 口 地 址 。 本 开发 实践 需要 获得 0x80 号 中 断 处 理 函数 的 入 口 地 
址 ,该 中 断 是 用 来 处 理 系统 调用 的 。 

struct idt_descriptor{ 

unsigned short off_low; // 该 中 断 的 处 理 函数 低 16 位 地 址 
unsigned short sel; 
unsigned char none, flags; 


unsigned short off_high; // 该 中 断 的 处 理 函 数 高 16 位 地 址 
}; 


9.2.3 ”函数 组 成 和 功能 设计 


在 9.1 节 中 ,将 内 核 日 志 模 块 的 功能 分 为 四 个 部 分 : 内 核 模 块 初始 化 ,内 核 模 块 注销 ， 
操作 信息 收集 ,基于 Netlink 的 日 志 信息 发 送 。 下 面 分 别 介绍 这 些 部 分 所 涉及 到 的 函数 。 

1. 内 核 模块 初始 化 

内 核 模块 初始 化 部 分 主要 完成 系统 调用 重 载 ,即将 操作 信息 收集 的 主 函 数 地 址 写 入 系 
统 调用 入 口 地 址 表 中 open 系统 调用 处 理 函 数 对 应 的 位 置 。 该 部 分 的 难点 在 于 如 何 获得 系 
统 调用 入 口 地 址 表 的 首 地 址 ,另外 还 需要 创建 一 个 基于 Netlink 的 套 接 字 。 这 部 分 主要 涉 
及 如 下 几 个 函数 : 

。 static int _init audit_init(void); 该 函数 为 内 核 模 块 初始 化 函数 ,在 内 核 模 块 加 载 
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到 Linux 内 核 中 时 被 自动 调用 。 该 函数 首先 调用 函数 get_sys_call_table() 获 得 系 
统 调用 入 口 地 址 表 的 首 地 址 ,然后 用 自己 设计 的 操作 信息 收集 函数 hacked_open() 
来 替换 该 入 口 地 址 表 中 open 系统 调用 的 处 理 函数 入 口 地 址 ,同时 将 原 有 的 open 系 
统 调用 处 理 函数 入 口 地 址 保存 到 全 局 变量 orig_open 中 ,最 后 调用 函数 netlink_init() 
完成 Netlink 套 接 字 接口 的 初始 化 。 

。 void * get_sys_call_table(void); 该 函数 首先 调用 函数 get_system_call() 来 获得 
系统 调用 处 理 函数 ( 即 0x80 号 中 断 的 处 理 函数 ) 的 入 口 地 址 。 因 系统 调用 处 理 函 数 
中 涉及 到 对 系统 调用 入 口 地 址 表 的 引用 , 且 该 引用 是 作为 call 指令 的 参数 , 即 紧 跟 
在 call 指令 的 后 面 ,而 在 系统 调用 处 理 函 数 的 这 段 代码 中 ,call 指令 仅 在 引用 系统 调 
用 入 口 地 址 表 时 出 现 一 次 。 根 据 call 指令 的 指令 码 (0xff1485) 特 征 , 从 系统 调用 处 
理 函 数 的 总 人 口 地 址 开始 ,逐个 字 节 向 下 扫描 就 可 获得 该 call 指令 的 位 置 ,其 后 的 
内 容 即 为 系统 调用 入 口 地 址 表 的 首 地 址 。 

。 void * get_system_call(void); ”该 函数 用 于 获得 系统 调用 处 理 函 数 的 入 口 地 址 ,在 
Linux 中 系统 调用 作为 一 种 特殊 的 中 断 ( 即 系统 自 陷 ) 存 在 ,其 中 断 编号 为 0x80。 在 
Linux 的 运行 过 程 中 ,中 断 入 口 地 址 表 ( 又 称 为 中 断 向 量 表 ) 的 首 地 址 一 直 保 存在 
CPU 的 一 个 全 局 寄存 器 IDTR 中 。 可 以 从 该 寄存 器 中 读 取 中 断 向 量 表 的 首 地 址 ， 
加 上 0x80 x* 8( 中 断 向 量 表 每 个 表 项 占 8 个 字 节 ) 就 能 获得 Linux 系统 调用 处 理 函 数 
的 入 口 地 址 。 

。 unsigned int clear_and_return_cr0(void); ”该 函数 在 函数 audit_init() 中 调用 。 通 
常 系 统 调用 入 口 地 址 表 所 在 的 物理 页 会 处 于 写 保护 状态 ,函数 audit_init() 在 修改 
系统 调用 入 口 地 址 表 中 的 open 系统 调用 处 理 函 数 入 口 地 址 前 ,需要 调用 该 函数 进 
行 临时 性 设置 ,以 清除 CPU 控制 寄存 器 CR0 的 写 保护 控制 位 。 这 样 在 修改 系统 调 
用 的 入口 地 址 表 时 ,CPU 会 忽略 所 访问 物理 页 是 否 需 要 写 保护 ,而 直接 修改 该 页 中 
的 内 容 。 

。 void netlink_init(void); 该 函数 在 函数 audit_init() 中 调用 , 它 调 用 外 部 函数 netlink_ 
kernel_create() 创 建 一 个 基于 Netlink 的 SOCKET 接口 ,该 SOCKET 接口 的 数据 
接收 钩子 函 数 设置 为 函数 nl_data_ready(), 并 将 该 套 接 字 接 口 保存 在 全 局 变量 
nl_sk 中 。 

。 void nl_data_ready (struct sock x* sk, int len); 该 函数 被 设置 成 所 创建 SOCKET 
接口 的 数据 接收 钩子 函数 , 当 该 SOCKET 接口 收 到 日 志 应 用 程序 发 送 来 的 数据 时 
会 自动 调用 该 函数 。 日 志 应 用 程序 在 启动 时 ,会 将 自己 的 PID( 进 程 标识 符 ) 发 送 到 
内 核 层 ,该 函数 主要 从 SOCKET 接口 的 接收 数据 中 解析 出 后 台 日 志 应 用 进程 的 
PID 信息 ,并 将 其 保存 到 全 局 变量 中 。 内 核 模块 在 收集 到 日 志 信 息 后 ,会 基于 
Netlink 的 SOCKET 接口 ,将 日 志 信息 定向 发 送 给 由 该 PID 标识 的 日 志 应 用 程序 。 

2. 内 核 模 块 注销 

内 核 模块 注销 部 分 的 功能 比较 简单 ,主要 函数 有 : 

。 static void exit audit_exit(void); ”该 函数 在 内 核 模块 和 邱 载 时 被 自动 调用 ,主要 功 
能 是 将 系统 调用 入 口 地 址 表 中 的 open 系统 调用 处 理 函 数 入 口 地 址 恢复 为 原来 的 
open 系统 调用 处 理 函 数 入 口 地 址 。 同 样 ,在 执行 恢复 操作 的 前 后 ,要 清除 和 恢复 设 
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有 


置 控制 寄存 器 CR0 的 写 保 护 位 。 最 后 该 函数 释放 在 函数 netlink _init() 中 建立 的 
SOCKET 接口 。 

void netlink_release(void); 该 函数 在 函数 audit_exit() 中 调用 ,用 于 释放 所 分 配 的 
Netlink 资源 。 


操作 信息 收集 


该 部 分 的 功能 是 收集 文件 打开 相关 的 日 志 信息 ,然后 调用 日 志 信息 发 送 部 分 的 函数 将 
收集 到 的 日 志 信息 发 送 到 应 用 层 。 该 部 分 主要 包括 以 下 几 个 主要 函数 : 


asmlinkage long hacked_open(const char * pathname, int flags, mode_t mode); 该 函 
数 的 入口 地 址 将 在 内 核 模块 初始 化 时 被 函数 audit_init() 注 册 到 系统 调用 和 人口 地 址 
表 中 ,以 替代 原来 的 open 系统 调用 处 理 函 数 入 口 地 址 。 由 于 该 函数 的 入 口 地 址 写 
入 到 系统 调用 入 口 地 址 表 中 ,因此 每 当 系 统 中 有 应 用 程序 执行 open 系统 调用 的 时 
候 , 该 函数 会 被 Linux 系统 自动 调用 。 该 函数 的 主要 功能 是 首先 调用 原来 的 open 
系统 调用 处 理 函 数 ,然后 调用 函数 AuditOpen() 进 行 日 志 信息 的 收集 和 记录 。 

int AuditOpen(const char * pathname,int flags, int ret); 该 函数 用 于 完成 日 志 
信息 的 收集 ,其 中 一 项 主要 任务 是 调用 函数 get_fullname() 获 得 所 打开 文件 的 全 路 
径 文件 名 ,最 后 将 收集 到 的 内 容 封 装 在 一 个 缓冲 区 中 ,再 调用 日 志 发 送 丙 数 netlink 
sendmsg() 将 日 志 内 容 发 送出 去 。 

void get_fullname(const char * pathname,char * fullname); ”该 函数 的 功能 是 获 
得 打开 文件 的 全 路 径 名 ,并 将 结果 保存 在 参数 fullname 指向 的 缓冲 区 中 。 该 函数 首 
先 从 current 一 二 fs 一 二 pwd 获得 当前 目录 对 应 的 目录 项 结构 ,然后 获得 该 目录 项 对 
应 的 路 径 名 (具体 过 程 详 见 8. 3. 1 节 “struct dentry”, 这 里 不 再 歼 述 ) ,该 路 径 名 拼合 
参数 pathname 指向 的 文件 名 后 ,就 得 到 了 全 路 径 文件 名 。 


这 里 需要 注意 的 是 ,本 开发 实践 中 获取 全 路 径 名 的 算法 存在 一 定 的 缺陷 ,如 果 参 数 传人 
的 文件 名 为 相对 路 径 名 , 且 包 含 向 上 级 目录 的 回 退 (如 ../TestAudit 的 形式 ), 所 计算 出 的 
全 路 径 名 就 不 够 简约 。 如 当前 目录 路 径 为 /root/test, 参数 传人 的 相对 路 径 为 ../ 
TestAudit, 应 用 程序 要 访问 的 实际 路 径 为 /root/TestAudit, 而 本 函数 计算 出 的 全 路 径 名 
为 /root/test/../TestAudit。 因 此 本 章 开发 出 的 原型 系统 存在 一 定 的 安全 漏洞 ,攻击 者 可 
以 恶意 绕 过 原型 系统 中 的 系统 级 日 志 访 问 目 标 文件 夹 。 在 基于 该 原型 系统 进行 扩展 开发 实 
践 时 ,可 以 进行 针对 性 的 改善 ,只 要 对 本 函数 计算 出 的 全 路 径 名 进行 简约 化 处 理 即 可 ,这 里 
不 再 详 述 。 


4. 


基于 Netlink 的 日 志 信息 发 送 


该 部 分 的 功能 是 将 内 核 模块 收集 到 的 日 志 信息 通过 创建 好 的 SOCKET 接口 发 送 给 日 
志 应 用 程序 。 该 部 分 仅 包含 一 个 函数 : 


int netlink_sendmsg (const void * buffer，unsigned int size); ”该 函数 通过 调用 
Netlink 的 单 播发 送 函 数 netlink_unicast() ,将 封装 在 buffer 缓冲 区 中 的 日 志 数 据 
发 送 到 所 创建 的 SOCKET 接口 中 。 应 用 层 的 日 志 应 用 程序 会 从 该 SOCKET 接口 
中 读 取 出 相应 的 日 志 数 据 。 
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9.2.4 


函数 实现 与 注释 


1. 模块 初始 化 部 分 


static int _init audit init(void){ 


void 


void 


unsigned int orig_cr0 = clear and return cr0(); /* 清除 控制 寄存 器 CR0 的 写 保 护 检 查 控 
制 位 ,并 保存 CR0 寄存 器 的 原始 值 * / 

sys_call_table = get_sys_call table(); // 获 取 系 统 调用 入 口 地 址 表 的 首 地 址 

printk("Info: sys_call_ table found at % lx\n", (unsigned long)sys_call table); /* 输 出 
系统 调用 入 口 地 址 表 的 首 地 址 * / 

orig_open = sys_call table[__NR open]; /* 保 存 open 系统 调用 的 原始 处 理 函 数 入 口 地 址 ， 
__NR_open 为 open 的 系统 调用 号 ,该 号 对 应 open 系统 调用 处 理 函 数 
在 系统 调用 入 口 地 址 表 的 位 置 */ 

sys_call_table[ _NR_open] = hacked_open; // 重 载 open 系统 调用 的 处 理 函 数 入 口 地 址 

asm volatile ("mov] eax, cr0" : : "a"(orig_cr0)); /* 人 恢复 控制 寄存 器 CR0 的 值 ， 
即 恢复 其 写 保护 检查 控制 位 * / 

netlink init(); // 进 行 Netlink 相关 的 初始 化 

return 0; 


} 


* get_system_call(void) { /x* 该 函数 用 于 获得 系统 调用 处 理 函 数 的 人口 地 址 , 即 Linux 系统 
中 0x80 号 中 断 的 处 理 函数 地 址 * / 

unsigned char idtr[6]; 

unsigned long base; // 存 储 中 断 向 量 表 的 首 地 址 

struct idt_descriptor desc; 

asm ("sidt 多 0" : "=m" (idtr)); // 取 出 中 断 向 量 寄存 器 的 内 容 

base = *((unsigned long * ) &idtr[2]); // 获 得 中 断 向 量 表 的 首 地 址 

memcpy(&desc, (void * ) (base + (0x80*8))，sizeof(desc)); /* 获得 实现 系统 调用 的 中 
断 (对 应 的 中 断 号 为 0x80) 信息 ,由 于 每 个 中 断 的 信息 结构 占 8 字 
节 , 所 以 该 中 断 的 信息 在 中 断 向 量 表 中 的 偏 移 地 址 为 (0x80 * 8) * / 

return( (void x* ) ((desc. off_high << 16) + desc.off_low)); // 将 高 地 址 的 16 左 移 


x*get_sys_call_table(void) 


void x* system call = get_system_call(); // 获 得 系统 调用 处 理 函 数 (0x80 号 中 断 ) 的 地 址 
unsigned char *p; // 临 时 性 指针 变量 
unsigned long sct; // 缓 存 系 统 调用 入 口 地 址 表 的 首 地 址 指针 
int count = 0; 
p = (unsigned char * ) system call; 
/* 下面 的 循环 在 系统 调用 处 理 函 数 的 代码 段 中 搜索 call 指令 的 位 置 , call 指令 的 指令 码 为 
“Oxff1485” * / 
while (!((*p == Oxff) && (* (p+1) == 0xl4) && (* (p+2) == 0x85))){ 
Lb 
让 (count ++> 500) { ”// 搜 索 范 围 超出 了 系统 调用 处 理 函 数 的 代码 段 长 度 ,终止 搜索 
count = -1;  ”// 设 置 不 成 功 标志 
break; 
} 
} 
if (count != —1){ // 判 别 是 搜索 成 功 终止 ,还 是 搜索 范围 超出 终止 
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下 3 /* 跳 过 指令 码 ,获取 第 一 个 操作 数 , 该 操作 数 即 为 系统 调用 人 口 地 
址 表 的 首 地 址 * / 
sct = *((unsigned long * ) p); 
} 
else 
sct = 0; // 没 有 成 功 获得 系统 调用 入 口 地 址 表 的 首 地 址 


return( (void * ) sct); // 返 回 系统 调用 入 口 地 址 表 的 首 地 址 
} 


unsigned int clear_and_return_cr0(void) { // 清 除 控制 寄存 器 CR0 中 的 写 保护 检查 控制 位 


unsigned int cr0 = 0; 


unsigned int ret; // 保 存 CR0 寄存 器 的 原始 值 

asm volatile ("movl $% %cr0，% %eax" : "=a"(cr0)); /* 将 CR0 寄存 器 的 原始 值 读 入 到 变 
量 cro 中 */ 

ret = cr0; // 将 CR0 寄存 器 的 原始 值 保存 至 ret 中 


cr0 &= Oxfffeffff; // 修 改 CR0 的 值 ,将 其 第 16 位 ( 即 写 保护 检查 控制 位 ) 置 0 
asm volatile ("mov] % % eax，% %cro" : : "a"(cr0)); /* 将 清除 写 保 护 检 查 控制 位 后 的 值 
回 写 至 CR0 寄存 器 * / 
return ret; // 将 CR0 寄存 器 的 原始 值 返回 ,以 便于 将 来 恢复 CR0 寄存 器 的 值 
} 


void netlink_init(void) { /* 创建 一 个 Netlink 类 型 的 SOCKET 接口 ,要 基于 该 接口 与 应 用 程序 
进行 通信 , 其 Netlink 的 协议 类 型 号 必须 与 应 用 程序 中 的 
Netlink 协议 号 一 致 .这 里 将 协议 类 型 号 均 设置 为 29*/ 
nl_sk = netlink kernel create(Netlink_TEST, 0, nl _data ready, THIS MODULE); 
if (!nl_sk) { // 创 建 失败 ,进行 相关 的 资源 释放 
printk(KERN_ERR "net_link: Cannot create netlink socket. \n"); 
if (nl_sk != NULL) 
sock release(n] sk-> sk socket); 
} 
else // 创 建成 功 ,输出 提示 信息 
printk("net link: create socket ok. \n"); 
} 


void nl _data_ready (struct sock * sk, int len){ /x 在 基于 Netlink 的 SOCKET 接口 有 数据 到 达 
时 , Linux 内 核 自动 会 调用 该 函数 x*/ 
struct sk_buff * skb;  // 消 息 报 文 缓冲 区 指针 
struct nlmsghdr *nlh;  //Netlink 消息 头 指针 
skb = skb dequeue(&(sk 一 > sk_receive_queue)); /* 调用 skb_dequeue, 从 该 套 接 字 对 应 的 
消息 到 达 链 (sk - > sk_receive_queue) 
上 ,取出 一 个 到 达 的 消息 * / 
证 (skb -> len >= NLMSG SPACE(0)) { /x* NLMSG SPACE(0) 表 示 最 短 内 容 的 消息 长 度 , 即 纯 消息 
头 的 长 度 ,到 达 消 息 车 小 于 该 长 度 是 无 效 消息 * / 
nlh = (struct nlmsghdr * )skb-> data; // 取 出 到 达 消 息 的 内 容 , 即 Netlink 消息 头 
pid = nlh->nlmsg_pid; ”// 获 取 发 送 该 消息 进程 的 标识 符 
printk("net_link: pid is %d, \n", pid); 
kfree_skb( skb); // 释 放 处 理 过 的 消息 
} 


return; 
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2. 模块 注销 部 分 


static void _exit audit exit(void){ 


unsigned int orig_cr0 = clear_and_return_cr0(); ”// 清 除 CR0 寄存 器 写 保护 检查 控制 位 


sys_call table[__NR open] = orig open; // 恢 复原 始 open 系统 调用 处 理 函 数 
asm volatile ("movl] 多 %eax, %cr0": : "a"(orig cr0)); /x* 人 恢复 控制 寄存 器 CR0 的 值 ， 
即 恢复 其 写 保护 检查 控制 位 * / 


netlink release(); 


} 


void netlink release(void) { 
if (nl_sk != NULL) 
sock_release(nl_ sk->sk socket); // 释 放 Netlink 资源 
} 


3. 日 志 信 息 收 集 


asmlinkage long hacked_open(const char * pathname, int flags, mode t mode) { /* 新 重 载 的 
open 系统 调用 的 处 理 函 数 * / 
long ret; // 记 录 原 open 系统 调用 处 理 函 数 的 返回 值 
if( pathname == NULL ) // 容 错 性 检查 
return -1; 


ret = orig_open(pathname, flags, mode); /* 调用 原 open 系统 调用 处 理 函 数 ,并 记录 相应 的 


返回 值 */ 
AuditOpen(pathname, flags, ret); ”// 进 行 日 志 记 录 操 作 
return ret; // 返 回 原 open 系统 调用 处 理 函 数 的 返回 值 


} 


int AuditOpen(const char * pathname, int flags, int ret){ 


char commandname[ TASK_COMM LEN]; // 程 序 名 缓冲 区 

char fullname[ 256]; // 所 打开 文件 的 全 路 径 名 缓冲 区 

unsigned int size; // 发 送 数 据 的 总 长 度 

void * buffer; // 发 送 数据 的 缓冲 区 指针 

memset(fullname, 0, 256); // 初 始 化 所 打开 文件 的 全 路 径 名 缓冲 区 

get_fullname(pathname, fullname); // 获 得 所 打开 文件 的 全 路 径 名 

if (strncmp(fullname, AUDITPATH,15) != 0)  /V* 本 开发 实践 只 记录 AUDITPATH 目录 下 的 文件 
访问 日 志 * / 

return 1; 


strncpy(commandname, current -> comm, TASK_COMM_LEN); // 获 得 程序 名 
size = 16 + TASK COMM LEN + 1 + strlen(fullname) + 1;/* 加 1 用 于 存放 字符 串 结 束 标志 */ 


buffer = kmalloc(size, 0); // 分 配 发 送 缓冲 区 

memset(buffer, 0, size); // 初 始 化 发 送 缓冲 区 

x*((int* )buffer) = current 一 >uid; // 将 用 户 标识 符 复制 到 发 送 缓冲 区 中 

#x ((intx )buffer + 1) = current ->pid; // 将 进程 标识 符 复制 到 发 送 缓冲 区 中 

x*((int* )buffer + 2) = flags; // 将 打开 类 型 复制 到 发 送 缓冲 区 中 

x ((intx )buffer + 3) = ret; // 将 返回 值 ( 即 打开 是 否 成 功 ) 复 制 到 发 送 缓冲 
区 中 


strncpy( (char * )( 4 + (intx )buffer ),commandname,16 ); // 将 程序 名 复制 到 发 送 缓冲 区 中 

strcpy( (char * )( 4 + TASK COMM LEN/4 + (int* )buffer ), fullname); /* 将 要 打开 文件 
的 文件 名 复制 到 发 送 缓冲 区 中 * / 

netlink_sendmsg(buffer, size); // 向 应 用 程序 发 送 日 志 数 据 


return 0; 
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} 


void get_ fullname(const char * pathname,char * fullname){ 


} 


struct dentry *tmp dentry = current ->fs->pwd; // 获 取 该 进程 的 当前 目录 


char tmp_path[ MAX_LENGTH]; // 保 存 路 径 名 的 临时 缓冲 区 

char local path[ MAX LENGTH]; // 保 存 路 径 名 的 临时 缓冲 区 

memset( tmp_path, 0, MAX_LENGTH); // 初 始 化 缓冲 区 

memset(local_path,0,MAX_ LENGTH); // 初 始 化 缓冲 区 

证 (x*pathname == '/') { /* 比较 路 径 名 中 的 第 一 个 符号 是 否 为 '/', 即 是 

否 为 绝对 路 径 , 如 果 是 绝对 路 径 , 其 实 就 是 全 路 径 名 * / 

strcpy(fullname, pathname); 
return; 


} 
// pathname 中 为 相对 路 径 名 ,首先 获得 当前 所 在 目录 的 路 径 
while (tmp_dentry != NULL) { /* 该 循环 从 当前 目录 的 目录 名 开始 逐 层 向 上 处 
理 ,local_path 存储 从 正在 处 理 的 那 层 目录 开始 至 当前 目录 的 目录 名 * / 
if (!strcmp(tmp_dentry—>d_ iname,"/")) // 是 否 已 到 根 目 录 


break; // 已 到 根 目录 ,提前 退出 
strcpy(tmp_path, "/"); // 设 置 上 下 两 层 目 录 之 间 的 分 隔 符 '/' 
strcat(tmp_path, tmp_dentry->d_ iname); /* 在 目录 分 隔 符 前 ,合并 正在 处 理 目 录 的 目 
录 名 */ 
strcat(tmp_path, local_path); /* 在 目录 分 隔 符 后 ,合并 上 拼合 好 的 下 层 目 录 
路 径 ( 即 下 层 目录 至 当前 目录 的 路 径 ) * / 
strcpy(local_path, tmp_path) ; // 将 合并 结果 保存 至 local_path 


tmp_dentry = tmp_dentry->d_parent; // 指 向 上 层 目录 的 目录 项 继续 处 理 
} 


strcpy(fullname, local_path) ; // 复 制 当 前 目录 的 全 路 径 

strcat(fullname, "/"); // 设 置 上 下 两 层 目 录 之 间 的 分 隔 符 '/' 
strcat(fullname, pathname); // 合 并 上 相对 路 径 , 即 为 打开 文件 的 全 路 径 名 
return; 


4. 基于 Netlink 的 日 志 信 息 发 送 


int netlink_sendmsg(const void * buffer, unsigned int size){ 


struct sk buff * skb; 


struct nlmsghdr * nlh; //Netlink 的 消息 头 结构 指针 
int len = NLMSG_SPACE(1200); /* 发 送 消息 的 最 大 长 度 为 1200, len 为 考虑 消息 
头 后 的 长 度 * / 
if((!buffer) || (!nl_sk) || (pid == 0)) /x 如果 日 志 应 用 程序 还 没有 告诉 其 进程 标识 符 ， 
则 不 发 送 日 志 记 录 */ 
return 1; 
skb = alloc_skb(len, GFP_ATOMIC); // 分 配 报 文 缓冲 区 
if (!skb){ // 报 文 缓冲 区 分 配 不 成 功 
printk(KERN_ERR "net_link: allocat_skb failed. \n"); 
return 1; 
nlh = nlmsg put(skb, 0,0,0,1200,0); // 生 成 Netlink 消息 头 结构 
Netlink CB(skb).pid = 0; /* 设 置 发 送 本 消息 的 进程 标识 符 ,0 表示 本 消息 
由 内 核发 送 * / 


memcpYy(NLMSG_DRTR(nlh)，buffer，size);  /* 将 要 发 送 的 消息 内 容 复 制 到 Netlink 消息 头 的 
后 面 * / 
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// 以 单 播 方 式 ,将 构造 好 的 消息 发 送 至 指定 PID 的 上 层 应 用 程序 

if( netlink unicast(nl_sk, skb, pid, MSG DONTWAIT) < 0){ 
printk(KERN_ERR "net_link: can not unicast skb \n"); 
return 1; 

} 


return 0; 


9.3 日 志 应 用 程序 的 实现 


9.3.1 程序 功能 及 实现 思 


日 志 应 用 程序 的 主要 功能 是 从 Netlink 接口 中 接收 内 核 日 志 模 块 发 送 来 的 日 志 数 据 ， 
并 将 该 日 志 数 据 保存 到 文件 中 。 日 志 应 用 程序 具体 包括 以 下 几 个 部 分 : 

。 初 始 化 部 分 。 打 开 命 令 行 参数 指定 的 日 志文 件 ,创建 一 个 基于 Netlink 的 套 接 字 接 
口 ,安装 一 个 自行 设计 的 信号 处 理 函 数 。 
PID 发 送 。 通 过 getpid 系统 调用 获得 本 进程 的 进程 标识 符 ,然后 将 该 标识 符 发 送 到 
内 核 日 志 模 块 。 
循环 接收 和 记录 内 核 日 志 模 块 发 来 的 每 个 日 志 信 息 。 该 循环 为 无 限 循环 ,直到 程序 
结束 ,每 次 循环 从 基于 Netlink 的 套 接 字 接 口中 读 取 一 条 日 志 记 录 , 并 进行 格式 转 
化 ,以 可 读 的 方式 将 日 志 信 息 记录 在 日 志文 件 中 。 
进程 终止 信号 处 理 函数 。 由 于 在 本 程序 中 采用 无 限 循环 的 方式 接收 内 核 日 志 模 块 
发 来 的 日 志 信 息 , 需 要 以 终止 进程 的 方式 结束 该 应 用 程序 。 而 强行 终止 该 进程 可 能 
会 导致 已 经 写 人 日 志文 件 中 的 日 志 数 据 丢失 ,因此 本 开发 实践 重新 设置 进程 终止 信 
号 的 处 理 方式 ,在 进程 终止 信号 处 理 函数 中 关闭 日 志文 件 。 


9.3.2 涉及 的 库 函 数 和 结构 体 


在 本 开发 实践 中 需要 用 到 在 平时 的 编程 中 不 太 用 到 的 一 些 库 函数 ,这 里 首先 简单 介绍 
一 下 这 些 库 函数 。 

1. void signal(int signo,void ( * func)(Cint) ) ; 

该 函数 为 一 个 信号 设置 指定 的 处 理 函 数 ,包含 两 个 参数 ,前 一 个 参数 是 整数 类 型 ,指定 
为 哪 类 信号 设置 处 理 函 数 ,后 一 个 参数 void (* func ) (int) 是 指向 一 个 函数 的 指针 ,指明 具 
体 的 处 理 函 数 ,该 函数 需要 一 个 int 型 的 参数 (也 可 以 忽略 这 个 参数 ) ,无 返回 值 。 

该 函数 一 旦 执行 成 功 ,每 当 进 程 接收 到 指定 的 信号 时 ,为 该 信号 设置 的 处 理 函 数 将 会 被 
自动 调用 。 在 本 开发 实践 中 ,用 该 函数 为 进程 终止 信号 (SIGTERM) 设 置 新 的 处 理 函数 ,在 
该 新 处 理 函 数 中 实现 日 志文 件 的 关闭 。 

2. struct passwd * getpwuid(uid t uid) ; 

在 Linux 系统 中 ,用 户 的 帐户 信息 保存 在 口令 文件 /etc/passwd( 或 者 /etc/shadow) 中 ， 
如 果 知 道 一 个 用 户 标识 符 UID, 要 想 获得 该 帐户 的 其 他 信息 ,如 用 户 名 、 该 帐户 的 口令 、 用 
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户 的 组 标识 GID 等 ,需要 访问 口令 文件 。 该 函数 的 功能 是 获得 对 应 UID 的 帐户 信息 ,参数 
为 指定 的 用 户 标识 符 , 返 回 值 为 指向 帐户 信息 结构 (类 型 为 struct passwd) 的 指针 。 


struct passwd { 


char * pw_name; // 用 户 帐号 名 

char  *pw_ passwd; // 帐 户 的 口令 (以 密 文 形式 表示 ) 
uidt pwuid; // 用 户 标识 符 

gid 七 “pw_gid; // 用 户 的 组 标识 

char  *pw_ gecos; // 用 户 全 名 

char *pw_ dir; // 用 户主 目录 

char x*pw_shell; // 用 户 的 shell 程序 


}; 


如 果 要 获得 具体 的 某 一 项 帐户 信息 ,如 用 户 名 ,直接 访问 该 结构 体 中 的 pw_name 域 即 
可 。 在 该 开发 实践 中 ,操作 系统 层 获得 的 日 志 记录 ,其 操作 主体 为 用 户 标 识 符 ,为 了 提高 日 
志 记 录 的 可 读 性 ,调用 该 函数 将 用 户 标 识 符 转 换 为 对 应 的 用 户 帐号 名 。 

3. int socket(int domain, int type, int protocol) ; 


该 函数 用 来 创建 一 个 套 接 字 接 口 。Netlink 为 方便 用 户 使 用 ,采用 类 似 网 络 套 接 字 接 口 
的 方式 完成 通信 。 为 区 别 于 一 般 的 网 络 通信 ,Netlink 对 应 一 个 单独 的 协议 域 (domain), 即 
PF_Netlink。 在 创建 Netlink 的 套 接 字 接 口 时 ,该 函数 的 参数 形式 一 般 为 socket (PF_ 
Netlink, SOCK_RAW, ProtocalNumy) 。 

上 述 参数 中 ,协议 域 指定 为 PF_Netlink, 指 明 要 创建 的 套 接 字 为 Netlink, 套 接 字 类 型 
指定 为 SOCK _RAW, 即 提供 原始 的 网 络 协议 访问 ,最 后 一 个 参数 指明 协议 通信 号 。 
Netlink 套 接 字 通信 支持 多 达 32 个 协议 通信 号 ,为 0 一 31。 前 面 十 几 个 协议 通信 号 已 经 预 
留 给 知名 的 一 些 应 用 专用 ,如 Linux 防火 墙 等 。 为 了 防止 与 原 有 建立 在 Netlink 机 制 上 的 
一 些 应 用 冲突 ,在 进行 Netlink 相关 的 应 用 开发 时 ,应 避免 选取 预 留 的 协议 通信 号 ,在 后 面 
协议 通信 号 ( 即 16 以 后 ) 中 自选 一 个 使 用 ,本 开发 实践 选用 29 作为 协议 通信 号 。 在 进行 基 
于 Netlink 的 通信 时 ,应 用 程序 和 内 核 模块 要 选用 相同 的 协议 通信 号 ,和 否则 无 法 进行 正常 的 
Netlink 通信 。 

4. ssize_t sendmsg(int sock ，const struct msghdr * msg. int flags) ; 


该 函数 用 于 向 指定 套 接 字 发 送 数 据 。 在 本 开发 实践 中 ,用 于 向 基于 Netlink 的 套 接 字 
接口 发 送 本 进程 的 进程 标识 符 信 息 。 该 函数 包含 三 个 参数 : 

。 sock: 要 向 其 发 送 数 据 的 套 接 字 。 

。 msg: 指向 要 发 送 消息 头 的 结构 体 。 

。 flag: 发 送 的 一 些 控 制 标 志 及 其 组 合 。 

5. 消息 头 结构 体 

struct msghdr { 
void x* msg_name; // 消 息 名 称 ,实际 为 数据 包 的 目标 地 址 
int msg_namelen; // 消 息 名 称 的 长 度 , 即 目标 地 址 结构 体 的 长 度 
struct iovec  *msg_ iov; /* 指向 消息 内 容 的 结构 体 ,确切 讲 指向 元 素 类 型 为 结构 体 


struct iovec 的 数组 起 始 地 址 , msghdr 中 人 允许 一 次 传递 多 
个 数据 包 , 它 们 以 数组 的 形式 存储 在 一 起 即 可 * / 
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] 


__kernel size t msg_iovlen; 
void * msg_control; 


__kernel size t msg_controllen; 


unsigned msg_flags; 


其 中 消息 内 容 结 构 体 为 : 


struct iovec{ 


}; 


6. Netlink 套 接 字 的 消息 头 结 构 体 


void user * iov base; 


__kernel size t iov_len; 


// 消 息 数量 , 即 msg_iov 指向 数组 的 元 素 个 数 
// 控 制 信息 ,本 开发 实践 不 发 送 控制 信息 

// 控 制 信息 的 长 度 

// 消 息 发 送 的 标志 


// 指 向 数据 包 缓冲 区 
// 数 据 包 的 长 度 


在 基于 Netlink 的 套 接 字 通信 中 ,消息 内 容 结构 体 中 的 iov_base 域 指向 一 个 Netlink 机 
制 自己 定义 的 消息 头 ,该 消息 头 也 被 称 为 Netlink 控制 块 , 具 体 应 用 在 发 送 Netlink 消息 时 
必须 提供 该 消息 头 。Netlink 消息 的 具体 内 容 紧 跟 在 消息 头 的 后 面 。 


Netlink 套 接 字 的 消息 头 结构 体 具 体 为 : 


struct nlmsghdr{ 
_u32 nlmsg_len; // 指 定 消息 的 总 长 度 , 包 括 紧 跟 该 消息 头 部 的 数据 部 分 以 及 该 结构 自身 


}; 


_ul6 nlmsg_type; 
_ul6 nlmsg flags; 
_u32 nlmsg_seq; 
_u32 nlmsg_pid; 


// 具 体 应 用 内 部 定义 的 消息 类 型 
// 额 外 的 消息 标志 

// 消 息 的 序号 

// 以 进程 标识 符 表示 的 消息 发 送 者 


7. ssize_t recvmsg(int sock, struct msghdr * msg, int flags); 

该 函数 用 于 从 指定 套 接 字 接收 数据 ,在 本 开发 实践 中 ,用 于 从 Netlink 的 套 接 字 接口 接 
收 内 核 模块 发 送 来 的 日 志 记 录 。 该 函数 与 函数 sendmsg() 相 对 应 ,所 涉及 到 的 数据 结构 比 
较 类 似 ,可 以 对 照 函 数 sendmsg() 的 消息 头 结构 ,解析 出 内 核 层 发 送 来 的 数据 。 鉴 于 篇 幅 ， 
这 里 不 再 袭 述 。 


9.3.3 头 文件 及 全 局 变量 


# include < sys/stat.h> 

# include < sys/socket.h> 

# include < sys/types.h> 

# include < Linux/netlink.h> 
# include < Linux/socket.h> 
#include < fcnt1.h> 

# include < asm/types.h> 

# include < unistd.h> 

# include < stdio.h> 

# include < stdlib.h> 
#include < string.h> 

# include <time.h> 
#include < signal.h> 
#include < pwd.h> 


#define TM_FMT "和 了 一 %m- Sd %H:%M:%S" 


// 日 期 .时 间 的 格式 化 串 
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#define Netlink_TEST 29 // 本 开发 实践 中 自行 定义 的 Netlink 协议 通信 号 
#define MAX_PAYLOAD 1024 // Netlink 套 接 字 通 信 时 的 最 大 载荷 长 度 
int sock fd; //Netlink 套 接 字 的 标识 符 
struct msghdr msg; // 用 于 构造 套 接 字 发 送 的 消息 
struct nlmsghdr *nlh = NULL; //Netlink 自行 定义 的 消息 头 
struct sockaddr nl src_addr, dest_addr; //Netlink 通信 时 的 源 地 址 和 目标 地 址 
struct iovec iov; // 消 息 内 容 的 结构 体 
FILE * logfile; // 日 志文 件 的 FILE 结构 体 指针 

9.3.4 函数 组 成 及 功能 设计 


.3. 


日 


志 应 用 程序 按 实 现 的 具体 功能 划分 为 如 下 四 个 函数 。 


主 函 数 。 函 数 原型 为 : 

viod main(int argc, char xx argv); 

该 函数 控制 了 日 志 应 用 程序 的 运行 总 流程 ,具体 为 : 打开 日 志文 件 , 初 始 化 SOCKET 
接口 ,调用 函数 sendpid() 将 本 进程 的 进程 标识 符 发 送 到 内 核 日 志 模块 ,并 循环 接收 
从 内 核 日 志 模块 发 送 来 的 每 一 条 日 志 信 息 , 调 用 写 日 志 函 数 Log() 将 日 志 信 息 格式 
化 后 写 入 日 志文 件 。 

进程 标识 符 发 送 函 数 。 函 数 原型 为 : 

void sendpid(unsigned int pid); 

该 函数 被 main 函数 调用 ,该 函数 的 功能 是 将 进程 标识 符 pid 封装 在 数据 缓冲 区 中 ， 
调用 创建 好 的 SOCKET 接口 将 该 pid 发 送 至 内 核 日 志 模 块 。 

写 日 志 函 数 。 函 数 原型 为 : 

void Log(char * commandname, int uid, int pid, char * file path, int flags, int ret); 

该 函数 被 main 函数 调用 ,将 参数 中 表示 的 日 志 记 录 以 可 读 的 格式 记录 到 已 经 打开 
的 日 志文 件 中 。 每 条 日 志 记录 的 格式 为 : 

用 户 名 (用 户 标识 符 ) 程序 名 (进程 标识 符 ) 访问 时 间 所 访问 的 文件 名 访问 类 型 访问 是 否 成 功 
进程 终止 信号 处 理 函数 。 函 数 原型 为 : 

void killdeal func(); 

该 函数 在 进程 终止 时 被 自动 调用 ,其 主要 功能 是 关闭 打开 的 日 志文 件 ,以 防止 已 经 
记录 到 日 志文 件 中 的 日 志 数据 丢失 。 


5 函数 实现 与 注释 


1 


主 函 数 


int main(int argc, char *argv[]){ 


char buff[110]; 

char logpath[ 32]; // 存 储 日 志文 件 路 径 的 缓冲 区 

if (argc == 1) // 用 户 没 有 指定 作为 日 志文 件 名 的 参数 
strcpy( logpath, ". /10g"); // 如 果 用 户 不 指定 日 志文 件 ,默认 为 . /1og 
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else 
if (argc == 2) // 取 出 第 一 个 参数 argv[1] 作 为 日 志文 件 名 
strncpy(logpath, argv[1],32); 
else{ 
printf("Usagel: %s logfile! \n", argv[0]); 
printf("Usage2: % s\n", argv[0]); 
exit(1); 
} 
signal(SIGTERM, killdeal_ func); // 为 进程 终止 信号 SIGTERM 设置 处 理 函 数 killdeal_func 
sock fd = socket(PF Netlink，SOCK_RRNW，Netlink TEST); // 创 建 一 个 Netlink 的 套 接 字 
nlh = (struct nlmsghdr * )malloc(NLMSG SPACE(MAX _PAYLOAD)); /x 分 配 一 个 Netlink 消息 


头 结构 * / 
memset(nlh，0，NLMSG_SPRCE(MRX_PRYLORD) ) ;// 初 始 化 消息 头 结构 的 缓冲 区 
sendpid(getpid( )); // 将 本 进程 PID 发 送 至 内 核 层 
logfile = fopen(logpath, "w+"); // 打 开 日 志文 件 
if (logfile == NULL) { 

printf("Waring: can not create log file\n"); 
exit(1); 
3 
while(1){ // 借 助 Netlink 机 制 从 内 核 中 循环 读 取消 息 
unsigned int uid, pid, flags, ret; 
char * file path; // 被 打开 的 文件 名 
char * commandname; // 打 开 文件 的 可 执行 程序 名 称 
recvmsg( sock_fd, gmsg, 0); // 从 套 接 字 中 接收 消息 到 msg 


/ * NLMSG_DATA(nlh) 用 于 获得 消息 的 内 容 ,依次 为 用 户 标识 符 、 进 程 标识 符 、 打 开标 志 位 、 
打开 返回 值 程序 名 以 及 所 打开 的 文件 名 * / 
uid = *( (unsigned int * )NLMSG DATA(nlh) ); 
pid = *(1+ (int *)NLMSG DATA(n1h) ); 
flags = *(2 + (int *)NLMSG DATA(nlh) ); 
ret = *(3+ (int *)NLMSG DATA(nlh) ); 
commandname = (char * )(4 + (int * )NLMSG DATA(nlh)); 
file path = (char * )(4 + 16/4 + (int * )NLMSG _ DATA(nlh)); 
Log(commandname, uid, pid, file path, flags, ret); 
Vl 
/x* 下面 的 语句 在 程序 结束 前 释放 相应 的 资源 ,并 关闭 日 志文 件 . 因 用 SIGTERM 信号 终止 该 程 
序 , 下面 语句 可 能 运行 不 到 , 相应 功能 在 信号 处 理 函数 中 完成 * / 
closel( sock_fd); 
free(nlh); 
fclose( logfile); 
return 0; 


} 
2. 进程 标识 符 发 送 函 数 


void sendpid(unsigned int pid) { // 该 函数 将 本 进程 PID 通过 Netlink 机 制 发 送 到 内 核 
memset(&msg, 0, sizeof(msg)); // 初 始 化 消息 结构 体 
memset(&src_addr，0，sizeof(src_addr)); // 初 始 化 源 地 址 结构 体 
src_addr.n] family = RE Netlink; // 设 置 源 地 址 协议 的 类 型 
src_addr.nl pid = pid; // 设 置 源 地 址 , 即 本 进程 的 PID 
src_addr.nl groups = 0; //0, 表 示 非 组 播 方式 


bind(sock_fd，(struct sockaddr * )&src addr, sizeof(src_addr)); // 绑 定 地 址 
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memset(&dest_addr，0，sizeof(dest_addr) );// 初 始 化 目标 地 址 结构 
dest addr.n] family = AF Netlink; // 设 置 目 标 地 址 协议 的 类 型 
dest_addr.nl pid = 0; // 表示 消息 接收 者 为 Linux Kernel 
dest addr.n] groups = 0; // 设 置 为 非 组 播 方 式 
nlh->nlmsg_len = NLMSG_SPACE(MAX_PAYLOAD); ”// 设 置 消息 长 度 
nlh->nlmsg pid = pid; // 设 置 消息 的 发 送 者 
nlh->nlmsg flags = 0; 
/* 填充 Netlink 消息 x/ 
iov. iov base = (void * ) nlh; 
iov. iov len = nlh->nlmsg len; 
msg. msg_name = (void * )&dest addr; // 设 置 消息 的 目标 地 址 
msg. msg_namelen = sizeof(dest addr); // 设 置 目 标 地 址 结构 的 长 度 
msg.msg_iov = &iov; 
msg.msg_iovlen = 1; // 该 次 只 发 送 一 个 消息 
sendmsg( sock_fd, &msg, 0); // 将 消息 发 送 至 内 核 层 

} 

3. 日 志 写 入 函数 

void Log(char * commandname, int uid, int pid, char * file path, int flags, int ret){ 
char logtime[ 64]; // 存 储 格式 化 的 当前 时 间 
char username[ 32]; // 用 户 名 
struct passwd * pwinfo; // 帐 户 信息 结构 指针 
char openresult[10]; // 字 符 串 型 表示 的 文件 打开 是 否 成 功 
char opentype[ 16]; // 打 开 类 型 
time tt = time(0); // 用 于 存储 当前 时 间 


/* ret 表示 文件 操作 是 否 成 功 , 将 文件 操作 成 功 标 志 转 化 为 可 读 的 字符 串 ( success 或 failed) 
到 openresult 中 * / 
if (ret > 0) 
strcpy(openresult, "success" ); 
else 
strcpy(openresult, "failed" ); 
/* 将 文件 打开 标志 位 转化 为 可 读 形式 (Read, Write, Read/Write, 或 other 之 一 ) 到 opentype 中 * / 
if (flags & 0_RDONLY ) 
strcpy(opentype, "Read"); // 只 读 打开 
else 
if (flags & O_WRONLY ) 
strcpy(opentype, "Write"); // 只 写 打 开 
else 
if (flags & O_RDWR ) 
strcpy(opentype, "Read/Write"); ”// 读 写 方式 打开 


else 
strcpy(opentype, "other"); // 其 他 打开 方式 
if (logfile == NULL) // 检 查 日 志文 件 是 否 已 经 打开 
return; 
pwinfo = getpwuid(uid); // 获 得 uid 对 应 的 帐户 信息 结构 
strcpy(username, pwinfo — > pw_name); /* 获得 帐户 信息 中 的 用 户 名 , 即 获 得 该 uid 对 应 


的 用 户 名 * / 
strftime(logtime, sizeof(logtime), TM FMT, localtime(&t)); /* 通 过 localtime 函数 , 获 
得 系统 当前 时 间 , 然 后 通过 strftime 函数 将 时 间 转 化 为 可 读 格 式 * / 
fprintf(logfile,"%s(%d) %s(%d) %s\"%s\" %s %s\n",username, uid, commandname, 
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pid，1logtime, file_path, opentype, openresult);  // 输 出 该 日 志 记录 到 日 志文 件 
printf("% s(%d) %s(%d) %s\"%s\" %s %s\n",username, uid, commandname, pid, 
logtime, file_path, opentype，openresult) ;// 为 便于 测试 ,在 终端 上 输出 该 日 志 记 录 

} 


4. 进程 终止 信号 处 理 函 数 


void killdeal func(){ // 一 旦 进程 收 到 进程 终止 信号 (SIGTERM) ,该 函数 
将 会 被 自动 调用 
printf("The process is killed! \n"); 
close( sock fd); 
if (logfile != NULL) 


fclose(logfile); // 关 闭 日 志文 件 
if (nlh != NULL) 

free(nlh); // 关 闭 Netlink 
exit(0); // 退 出 程序 


9.4 编译、 运行 及 测试 


在 9.2 节 和 9.3 节 完 成 原型 系统 的 代码 编程 后 ,就 可 以 对 该 原型 系统 进行 运行 测试 。 
在 运行 测试 之 前 ,需要 将 源 代 码 编译 成 可 执行 程序 和 可 加 载 内 核 模 块 。 下 述 编译 和 运行 过 
程 是 在 Fedora Core 6 Linux 环境 下 完成 , 若 要 在 其 他 Linux 发 行 版 (如 Ubuntu 10. 04 等 ) 
运行 和 测试 ,需要 对 9. 3 节 的 源 代 码 进行 适当 改动 ,所 涉及 到 的 主要 改动 在 9. 5. 4 节 具 体 
阐述 。 


9.4.1 编译 方法 和 过 程 


该 原型 系统 由 运行 在 应 用 层 的 日 志 应 用 程序 和 执行 在 内 核 层 的 内 核 日 志 模 块 两 部 分 组 
成 ,这 两 部 分 的 编译 方法 不 同 , 需 要 分 别 进行 编译 。 其 中 应 用 程序 的 编译 比较 简单 ,只 需 在 
shell 命令 行 输 入 下 述 命令 即 可 : 

gcc -oauditdaemon auditdaemon.c 

其 中 auditdaemon. c 是 保存 日 志 应 用 程序 源 代码 的 文件 名 ,假定 该 文件 就 在 当前 目录 
下 ,auditdaemon 为 编译 出 的 目标 文件 ,该 目标 文件 名 可 以 在 gcc 编译 时 任意 命名 。gcc 命 
令 执 行 结 束 , 就 会 在 当前 目录 下 得 到 一 个 auditdaemon 的 可 执行 文件 。 

同 第 8 章 中 内 核 模块 的 编译 方法 类 似 , 本 章 的 开发 实践 也 通过 make 工具 来 完成 。 具 
体 的 Makefile 文件 内 容 为 : 


obj -m : = RuditModule.o 


AuditModule — objs := sdthook.o syscalltable.o netlinkp.o 
KDIR := /lib/modules/ $ (shell uname — r)/build 
PWD := $ (shell pwd) 


$ (MAKE) —C $ (KDIR) SUBDIRS = $ (PWD) modules 


赋值 语句 Obj-m := AuditModule. o 说 明 要 使 用 目标 文件 AuditModule. o 建立 一 个 
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模块 ,该 模块 的 名 字 就 是 AuditModule. ko。 赋 值 语 句 AuditModule-objs :一 sdthook. o 
syscalltable. o netlinkp.o 指明 了 AuditModule. o 所 依赖 的 目标 文件 ,这 些 目 标 文件 将 由 同 
名 的 x*.c 文 件 编译 而 成 (9. 2. 4 节 中 的 代码 分 散在 这 三 个 文件 中 )。 该 Makefile 文件 中 其 
他 内 容 的 含义 与 第 8 章 中 Makefile 文件 的 对 应 部 分 相 类 似 , 这 里 不 再 歼 述 。 

在 当前 目录 ( 即 包含 上 述 的 Makefile 文件 和 源 代码 文件 的 目录 ) 下 输入 make, 执行 完 
成 后 ,就 会 看 到 AuditModule. ko 文件 ,这 就 是 可 加 载 的 内 核 模 块 目标 文件 。 

需要 注意 的 是 ,编者 是 在 FC6 Linux( 内 核 版 本 为 2. 6. 18) 下 编译 9.2 节 和 9. 3 节 中 的 
源 代码 ,在 其 他 版 本 的 Linux 系统 下 编译 该 程序 时 可 能 会 遇 到 兼容 性 的 问题 ,从 而 需要 一 些 
细节 上 的 改动 。 据 编者 所 知 ,Netlink 机 制 在 不 同 版 本 的 Linux 内 核 中 其 实现 存在 很 多 的 不 
同 , 如 果 需 要 在 非 2.6. 18 版 本 的 Linux 下 进行 本 章 的 开发 实践 ,应 在 Netlink 机 制 的 使 用 
方式 上 进行 相应 的 调整 。9. 5. 4 节 结 合 扩展 开发 实践 ,简单 阐述 了 将 该 原型 系统 移植 到 
2.6. 29 内 核 版 本 Linux 下 的 基本 要 点 。 


9.4.2 文件 操作 日 志 测试 


上 面 进行 的 开发 实践 只 是 给 出 实现 系统 级 日 志 的 一 种 思路 和 技术 手段 ,并 不 是 要 开发 
一 个 完善 的 日 志 系 统 。 考 虑 到 可 能 对 系统 性 能 和 稳定 性 产生 影响 ,本 开发 实践 只 对 一 特定 
目录 ( 即 /root/testaudit) 下 的 文件 访问 操作 进行 日 志 记 录 , 因 而 对 /root/testaudit 下 的 文件 
进行 操作 才 会 被 本 章 开发 的 日 志 系 统 记 录 下 来 。 在 测试 之 前 ,通过 mkdir 命令 创建 /root/ 
testaudit 目录 用 于 测试 。 

本 章 开发 的 原型 系统 的 测试 流程 大 致 如 下 : 

(1) 加 载 和 查看 模块 。 

。 insmod AuditModule. ko 井 插 入 AuditModule. ko 模块 到 Linux 内 核 

。 lsmod | grep -e AuditModule # 查 看 系统 中 所 有 加 载 的 内 核 模 块 ,如 果 加 载 成 功 ， 
在 显示 出 的 内 核 模块 列表 中 将 会 看 到 名 字 为 AuditModule 的 模块 

模块 编译 ,加载 以 及 查看 的 具体 过 程 如 图 9-2 所 示 。 


文件 亿 编辑 全 ) 查看 信 ) 名 济 人 D 标 答 但 划 助 全 ) 
nel_module]# make 
s/2.6.18-1.2798 -fc6/build SURDIRS=/, 


/kernels/2.6.18-1 


able.o 
hel _module /netlinkp.o 
leaudit/kernel_module /AudttModule.o 


[root@lDServ 
[rootélDSery 
Auditiodule 8592 0 
[rootslDServer kernel_nodule]= 是 


图 9-2 ”模块 编译 .加载 和 查看 
(2) 启动 日 志 应 用 程序 。 


。 ./AuditDaemon . /log 井 告 知 日 志 应 用 程序 将 日 志 记 录 在 当前 目录 下 的 log 文 
件 中 
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(3) 文件 读 写 测试 。 开 启 一 个 shell 终端 ,将 当前 目录 转移 到 /root/testaudit 下 ,在 该 目 
录 下 运行 文件 创建 . 读 取 以 及 修改 相关 的 各 种 操作 。 通 过 gedit 程序 对 该 目录 下 的 两 个 文 
件 (test. c 和 test. txt) 进 行 编辑 并 保存 。 

(4) 结束 日 志 应 用 程序 。 开 启 一 个 shell 终端 ,执行 kill 命令 结束 日 志 应 用 程序 。 注 意 
这 里 不 能 通过 直接 在 日 志 应 用 程序 的 执行 终端 上 按 Ctrl 十 C 键 结束 日 志 应 用 程序 的 执行 。 

。 ps -ax | grep -e AuditDaemon 井 查 找 AuditDaemon 的 进程 标识 符 

”kill 5011 井 终 止 日 志 应 用 程序 , 假定 日 志 应 用 程序 的 进程 标识 符 为 5011 

具体 执行 过 程 如 图 9-3 所 示 。 


Foot@IDServer:~ 


文件 人 编辑 人 下 看 (W) 党 端 (人 标签 人 @ 帮助 时 ) 
[root@lDServer ~]# ps -ax|grep ~e AuditDeemon 
Warning: bad synte: ? See /usr/share/doc/procps-3.2.7/FAQ 


5011 pts/l Sr+ 
5025 pts/3 0:00 grep ~e AuditDeemon 
[rootalDServer ~]# kill 5011 


[root@lDServer ~]# 


图 9-3 ”结束 日 志 应 用 程序 
(5) 查看 日 志文 件 内 容 。 上 述 测试 过 程 完 成 后 ,将 会 在 当前 目录 下 看 到 所 记录 的 日 志 
文件 log。 用 文本 编辑 器 打开 该 文件 ,其 所 记录 的 日 志 内 容 为 : 


root(0) gedit(4364) 2010 - 12 - 19 21:45:12 "/root/TestAudit/test. txt" other success 
root(0) gedit(4364) 2010 - 12 - 19 21:45:19 "/root/TestAudit/test. c" other success 


同时 日 志 应 用 程序 会 有 如 图 9-4 所 示 的 信息 输出 。 


rootolDServer:~/book experiments/riieaudit/daemon 


文件 介 ”编辑 (E) 查看 人 络 端 (D) 标签 亿 帮助 名 
[root@lDServer daemon]# gcc -o AuditDaemon suditdaemon.c 
[root@lDServer daemon]# ./AuditDaemon ./iog 

root(0) gedit(4 


The process is 
[root@lDServer dsemonj= 目 


图 9-4 日 志 应 用 程序 运行 过 程 及 信息 输出 
另外 ,通过 dmesg 命令 ,在 显示 文本 的 最 后 可 以 看 到 图 9-5 所 示 的 信息 。 这 是 内 核 日 志 


模块 在 执行 一 些 操作 时 的 信息 输出 ,其 中 “Info: sys_call_table found at c06104e0” 中 的 
c06104e0 是 系统 调用 人口 地 址 表 的 首 地 址 ,该 地 址 是 可 变 的 ,不 同 机 器 会 有 不 同 的 地 址 。 


[rootélDServer daenon]= 目 


图 9-5 ”dmesg 的 输出 信息 


(6) 测试 结束 , 印 载 内 核 模块 。 
rmmod AuditModule ”# 测 试 完成 , 秃 载 所 插入 的 内 核 日 志 模 块 。 
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9.5 扩展 开发 实践 


本 章 基 于 Linux 系统 调用 重 载 技 术 实现 了 文件 操作 有 关 的 日 志 原型 系统 ,为 了 将 开发 
过 程 的 重点 集中 在 原理 和 开发 技术 体现 上 ,本 原型 系统 仅 实现 了 对 文件 读 写 等 访问 操作 的 
记录 。 实 际 上 ,基于 Linux 系统 调用 重 载 技术 不 仅 能 够 重 载 open 系统 调用 ,也 能 重 载 其 他 
的 系统 调用 。 重 载 系统 调用 不 仅 可 以 用 于 相关 资源 访问 操作 的 日 志 , 同 样 也 可 以 用 于 对 系 
统 调用 的 控制 ( 详 见 9. 5.2 节 )。 因 此 在 本 章 原型 系统 的 基础 上 ,可 进行 多 个 方面 的 下 一 步 
开发 实践 。 


9.5.1 基于 系统 调用 重 载 的 系统 级 资源 访问 审计 


本 章 的 开发 实践 实际 上 只 是 提供 了 实现 日 志 系 统 的 一 种 关键 技术 和 原型 思路 。 无 论 从 
日 志 覆 盖 的 操作 范围 .日志 信息 的 详细 程度 来 看 ,还 是 从 便捷 的 审计 界面 来 看 ,本 章 所 实现 
的 原型 系统 距离 一 个 能 真正 使 用 的 审计 系统 还 有 很 多 的 开发 工作 ,可 以 围绕 如 下 方面 进行 
下 一 步 的 开发 实践 。 

1. 日 志 范围 的 扩展 

通常 日 志 ( 或 审计 ) 系 统 的 存在 是 基于 两 个 方面 的 目的 ,一 是 便于 系统 管理 员 ( 或 安全 管 
理 员 ) 了 解 系统 的 运行 状况 或 安全 状况 ,二 是 在 系统 发 生 安全 相关 的 事件 (如 重要 文件 删除 、 
外 泄 等 ) 后 ,能够 据 此 分 析 事 件 发 生 的 原因 .过 程 以 及 相关 的 责任 主体 。 因 此 在 确定 日 志 的 
粒度 或 范围 时 ,首先 需要 明确 系统 日 志 所 要 达到 的 目的 ,然后 据 此 确定 日 志 系 统 所 应 具有 的 
粒度 以 及 所 要 覆盖 的 范围 。 就 在 操作 系统 层 实现 的 系统 级 安全 日 志 而 言 , 通 常 有 以 下 种 类 
的 操作 需要 考虑 并 加 以 审计 。 

。 资源 访问 类 操作 ,重点 是 文件 访问 类 操作 。 这 类 操作 主要 包括 各 类 文件 (或 目录 ) 的 
创建 打开、 读 、 写 、 执 行 ( 对 可 执行 文件 而 言 ) 以 及 删除 等 。 文 件 访问 类 操作 对 系统 
的 数据 安全 性 非常 重要 ,一 个 实用 的 系统 级 安全 日 志 系 统 应 该 记录 这 些 资源 访问 
操作 。 
通信 类 操作 。 通 信 类 操作 代表 一 个 进程 与 外 界 ( 其 他 进程 或 主机 ) 的 交互 。 保 密 性 
是 系统 最 重要 的 安全 特性 之 一 ,通信 类 操作 相关 的 日 志 对 发 现 数据 泄密 具有 明显 的 
意义 。 通 信 类 操作 主要 分 为 三 种 : 进程 间 的 数据 通信 ,进程 间 的 控制 类 通信 (如 发 
送 各 种 信号 等 ) ,网 络 类 通信 。 就 重要 性 而 言 ,网 络 类 通信 应 该 为 日 志 覆 盖 的 重点 
操作 。 
管理 类 操作 。 管 理 类 操作 ,如 关机 或 重启 系统 、 内 核 模块 加 载 . 设备 添加 、 挂 载 及 钾 
载 文件 系统 等 ,这 类 操作 对 系统 安全 性 的 影响 也 比较 明显 。 这 类 操作 的 日 志 对 分 析 
系统 安全 故障 具有 重要 的 参考 。 

在 确定 好 需要 进行 日 志 的 操作 种 类 后 ,逐个 对 照 要 获得 这 些 操作 信息 需要 重 载 哪些 系 
统 调 用 ,从 而 分 别 编写 相应 系统 调用 的 信息 收集 函数 ,并 利用 上 述 开发 实践 中 的 相关 技术 ， 
将 写 好 的 信息 收集 函数 的 入口 地 址 蔡 代 系 统 调 用 入 口 地 址 表 中 的 原 有 系统 调用 处 理 函 数 的 
入 口 地 址 。 
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2. 日 志 项 的 确定 

对 于 每 条 日 志 而 言 ,如 果 记 录 的 日 志 项 越 多 ,管理 员 从 中 获得 的 信息 量 就 越 多 ,但 过 多 
的 日 志 项 可 能 会 带 来 较 多 的 资源 (计算 或 存储 资源 等 ) 消 耗 。 从 系统 调用 层次 上 进行 日 志 记 
录 的 一 个 明显 问题 在 于 每 条 日 志 的 语义 信息 层次 相对 较 低 ,如 果 不 对 日 志 项 进行 一 些 处 理 ， 
可 能 管理 员 并 不 能 从 中 获得 有 用 的 日 志 信 息 。 

如 重 载 write 系统 调用 对 写 文 件 操作 进行 日 志 记录 ,通过 该 系统 调用 的 参数 可 获得 的 
信息 有 文件 描述 符 fd、 缓 冲 区 指针 、 缓 冲 区 长 度 。 显 然 记 录 后 两 个 参数 作为 日 志 项 没有 明 
确 的 意义 ,通常 管理 员 不 太 会 去 关心 文件 每 次 写 人 了 多 少 内 容 。 而 第 一 个 参数 ( 即 文件 描述 
符 ) 是 一 个 动态 概念 ,对 同一 文件 每 次 执行 打开 操作 时 ,系统 可 能 会 分 配 不 同 的 文件 描述 符 ， 
管理 员 无 法 从 文件 描述 符 中 知道 对 哪个 文件 进行 了 写 操作 。 

因此 在 确定 日 志 项 的 时 候 , 要 尽量 避免 记录 一 些 动态 的 日 志 项 ,如 内 存 地 址 、 文 件 描述 
符 、 进 程 标识 符 等 ,要 记录 管理 员 能 够 理解 的 一 些 静 态 项 目 , 如 用 文件 名 (最 好 是 全 路 径 名 ) 
来 替代 文件 描述 符 。 当 然 这 种 替代 工作 在 实现 时 有 一 定 难 度 , 可 能 需要 访问 内 核 中 的 多 个 

结构 才能 实现 文件 描述 符 到 文件 名 的 转换 。 

日 志 处 理 的 扩展 

对 一 个 日 志 系 统 , 尤 其 是 系统 级 的 资源 访问 日 志 系 统 而 言 ,系统 中 所 发 生 的 资源 访问 操 
作 可 能 极其 频繁 。 如 果 不 对 日 志 信 息 做 一 些 合并 等 方面 的 处 理 ,管理 员 面 对 数 以 万 计 的 日 
志 记 录 可 能 手足 无 措 , 并 不 能 快速 地 发 现 自己 感 兴趣 的 日 志 信 息 , 因 此 进行 日 志 数 据 的 合并 
处 理 是 非常 有 必要 的 。 如 对 写 文件 操作 进行 记录 时 ,系统 运行 中 可 能 会 出 现 一 个 进程 对 某 
文件 短 时 间 内 进行 数 以 百 计 的 写 操作 (如 在 一 个 循环 体 中 对 一 个 文件 进行 多 次 写 ) ,只 有 操 
作 时 间 存 在 细微 差别 的 上 百 条 日 志 记录 对 管理 员 而 言 意义 并 不 大 ,将 这 些 日 志 记录 合并 成 
一 条 记录 并 不 会 损失 有 用 的 日 志 信 息 。 

此 外 ,在 本 章 的 开发 实践 中 ,原型 系统 的 日 志 记 录 以 文本 文件 的 形式 提供 给 管理 员 , 管 

理 员 需 要 借助 通用 的 文本 文件 查看 软件 来 浏览 信息 ,这 给 日 志 的 查询 和 检索 带 来 不 便 。 在 
实际 的 日 志 系 统 中 ,需要 提供 一 定 的 日 志 查看 和 检索 手段 ,以 便于 管理 员 高 效 地 获得 自己 所 
关心 的 日 志 记录 。 

4. 日 志 系统 的 灵活 性 扩展 

志 覆 盖 的 范围 在 一 定 程 度 上 影响 了 日 志 系 统 的 效率 ,如 果 管 理 员 能 够 对 日 志 系统 进 

按照 自己 的 需求 进行 针对 性 地 日 志 记 录 , 这 不 仅 能 提高 日 志 系 统 的 效率 ,也 不 降低 

日 志 系 统 的 安全 效果 。 在 本 开发 实践 中 ,原型 系统 只 对 规定 目录 ( 即 /root/testaudit) 下 的 文 

件 打开 操作 进行 日 志 。 在 下 一 步 的 开发 实践 中 ,可 以 考虑 提供 日 志 记录 的 灵活 配置 ,如 由 管 
理 员 指定 重要 目录 进行 文件 访问 日 志 记 录 。 


9.5.2 基于 系统 调用 重 载 的 访问 控制 类 开发 实践 


8.5.1 节 至 8.5.4 节 详细 阐述 了 如 何 基 于 Linux 的 安全 模块 机 制 实现 四 种 资源 访问 控 

制 的 开发 实践 ,包括 : 
。 针对 指定 应 用 程序 的 运行 权限 控制 。 即 引入 新 的 访问 控制 机 制 ,给 指定 的 应 用 程序 
实现 一 个 权限 受 控 的 运行 环境 。 该 应 用 程序 (实际 是 该 应 用 程序 对 应 的 进程 ) 只 能 
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访问 在 这 种 访问 控制 机 制 下 得 到 授权 的 资源 ,而 这 种 授权 可 以 由 管理 员 通 过 配套 开 
发 的 配置 工具 来 实现 。 

面向 指定 应 用 程序 的 完整 性 保护 。 即 实现 一 种 新 的 访问 控制 机 制 ,该 机 制 能 够 为 资 
源 (主要 是 文件 ) 指 定 能 访问 它 的 应 用 程序 。 基 于 这 种 访问 控制 机 制 ,可 以 指定 一 个 
应 用 程序 的 配置 文件 .中 间 结 果 文 件 等 只 能 被 该 应 用 程序 访问 等 ,从 而 实现 应 用 程 
序 的 完整 性 保护 。 

网 络 连接 控制 。 即 实现 新 的 访问 控制 机 制 ,来 限定 指定 的 应 用 程序 是 否 能 够 进行 网 
络 通信 ,以 及 以 何 种 方式 (以 TCP 协议 还 是 以 UDP 协议 等 ) 进 行 网 络 通信 等 。 
基本 型 文件 保险 箱 。 即 从 操作 系统 层次 提供 相应 的 访问 控制 机 制 ,实现 一 个 类 似 保 
险 箱 的 数据 保护 系统 ,可 以 对 用 户 的 重要 数据 提供 特殊 的 保护 。 存 储 保险 箱 的 文件 
只 对 保险 箱 数据 管理 程序 可 见 , 对 其 他 程序 是 不 可 见 的 .也 是 不 可 访问 的 。 保 险 箱 
数据 管理 程序 在 启动 时 会 验证 用 户 的 身份 。 

实际 上 基于 Linux 的 系统 调用 重 载 技术 ,同样 也 可 以 实现 上 述 四 种 资源 访问 控制 。 系 
统 调 用 被 重 载 后 ,相应 的 系统 调用 在 激发 时 会 调用 重 载 的 系统 调用 处 理 函 数 (如 9. 2 节 的 函 
数 hacked_open()) ,而 不 再 调用 原来 的 系统 调用 处 理 函 数 。 与 实现 日 志 系统 不 同 , 在 重 载 
的 系统 调用 处 理 函数 中 不 再 是 一 律 调用 原来 的 系统 调用 处 理 函数 ,而 是 先 经 过 访问 控制 判 
断 , 然 后 根据 判断 结果 再 决定 是 否 调用 原来 的 系统 调用 处 理 函 数 。 如 果 不 调 用 ,本 质 上 就 相 
当 于 拒绝 了 应 用 程序 的 系统 调用 请 求 , 从 而 实施 相应 的 访问 控制 。 

对 比 基 于 安全 模块 机 制 进行 上 述 四 种 扩展 开发 实践 ,本 章 将 以 系统 调用 重 载 的 方式 进 
行 的 扩展 开发 实践 分 别称 为 : 基于 系统 调用 重 载 的 程序 运行 权限 管理 .基于 系统 调用 重 载 
的 程序 完整 性 保护 ,基于 系统 调用 重 载 的 网 络 连 接 控 制 .基于 系统 调用 重 载 的 基本 型 文件 保 
险 箱 。 


9.5.3 基于 系统 调用 重 载 的 加 密 型 文件 保险 箱 


基本 型 文件 保险 箱 系 统 从 操作 系统 层次 上 保证 了 个 人 重要 数据 的 安全 性 ,使 得 他 人 无 
法 访问 (包括 查看 、 修 改 、 删 除 等 ) 放 在 文件 保险 箱 中 的 文件 ,也 无 法 看 到 文件 保险 箱 中 的 文 
件 。 基 本 型 文件 保险 箱 在 安全 性 上 存在 一 定 的 漏洞 ,通过 其 他 操作 系统 可 访问 到 文件 保险 
箱 中 的 文件 。 如 将 文件 保险 箱 所 在 的 磁盘 挂 载 到 其 他 Linux 系统 或 Windows 系统 中 , 因 其 
他 操作 系统 中 不 包含 文件 保险 箱 系 统 对 应 的 LSM 安全 模块 (或 系统 调用 的 重 载 处 理 ), 自 
然 也 就 不 会 对 文件 保险 箱 系 统 中 文件 的 访问 进行 限制 。 

通常 从 安全 技术 的 角度 无 法 禁止 将 丢失 的 磁盘 挂 载 到 其 他 系统 ,甚至 直接 销毁 磁盘 ,也 
就 是 说 从 技术 上 无 法 保证 文件 保险 箱 中 的 数据 不 被 访问 或 破坏 。 但 是 从 安全 角度 可 以 做 到 
即使 该 磁盘 丢失 ,其 上 保存 的 数据 也 不 会 被 泄密 。 如 果 文 件 保险 箱 要 实现 即使 在 磁盘 丢失 
的 情况 下 数据 也 不 泄密 ,就 需要 以 密 文 的 形式 来 保存 文件 保险 箱 中 的 文件 数据 ,下 文 称 这 类 
保险 箱 为 加 密 型 文件 保险 箱 。 

加 密 型 文件 保险 箱 除 实现 基本 型 文件 保险 箱 的 所 有 安全 功能 外 ,其 一 项 重要 功能 是 实 
现 对 保险 箱 内 文件 数据 的 加 密 和 解密 ,即将 文件 放 入 到 文件 保险 箱 时 对 文件 内 容 进 行 加 密 ， 
当 要 从 文件 保险 箱 中 取出 文件 时 进行 解密 以 恢复 文件 的 原始 内 容 。 由 于 文件 保险 箱 管理 程 
序 是 唯一 能 够 访问 该 文件 保险 箱 的 程序 ,因此 文件 内 容 的 加 解密 过 程 有 如 下 两 种 不 同 的 实 
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现 方案 : 
”系统 级 的 加 解密 。 即 在 所 重 载 系统 调用 的 处 理 函 数 中 实现 文件 内 容 的 加 密 和 解密 。 
在 重 载 的 读 文件 操作 和 写 文件 操作 相关 系统 调用 的 处 理 函 数 中 ,不 仅 可 以 实现 访问 
控制 ,还 可 以 对 写 和 信和 读 出 的 内 容 进 行 变 换 。 

”应 用 级 的 加 解密 。 即 在 文件 保险 箱 管理 程序 中 实现 对 文件 内 容 的 加 密 和 解密 操作 。 

每 当 将 文件 放 入 文件 保险 箱 中 时 对 文件 的 内 容 进行 加 密 , 当 从 文件 保险 箱 中 取出 文 
件 时 对 文件 的 内 容 进行 解密 。 

在 实际 开发 中 这 两 种 实现 方案 都 是 可 行 的 ,而 系统 级 的 加 解密 实现 比 应 用 级 的 加 解密 
实现 难度 大 。 事 实 上 ,基于 LSM 机 制 也 能 实现 加 密 型 文件 保险 箱 系 统 , 只 不 过 要 实现 这 样 
的 加 密 型 文件 保险 箱 系统 只 能 采用 应 用 级 的 加 解密 方案 , 即 在 文件 保险 箱 管理 程序 中 实现 
对 文件 内 容 的 加 解密 ,而 不 能 采用 系统 级 的 数据 加 解密 , 即 不 适合 在 LSM 框架 的 钩子 函数 
中 完成 数据 的 加 解密 工作 。LSM 框架 的 绝 大 多 数 钩子 函数 都 是 在 相应 的 操作 发 生前 调用 ， 
这 样 钧 子 函 数 的 返回 结果 就 能 影响 和 决定 LSM 框架 是 否 继续 相应 的 操作 ,从 而 实现 访问 
控制 。 只 有 数量 极 少 的 钩子 函数 (如 钩子 点 名 称 中 含 “*post” 的 那些 函数 ) 在 操作 完成 之 后 调 
用 。 具 体 到 实现 加 密 型 文件 保险 箱 所 必需 的 文件 读 写 相 关 的 钩子 函数 ,都 是 在 操作 发 生 之 
前 调用 的 ,这 样 可 实现 数据 写 入 保险 箱 时 的 加 密 , 但 不 能 实现 数据 从 保险 箱 读 取 时 的 解密 。 


9.5.4 基于 系统 调用 重 载 的 日 志 原 型 系统 的 移植 


本 章 中 的 原型 系统 是 在 FC6 Linux 系统 (内 核 版 本 2. 6. 18) 中 实现 的 ,由 于 本 原型 系统 
在 内 核 有 较 多 的 编程 工作 ,因此 与 Linux 的 内 核 版 本 存在 密切 的 关联 。 据 初步 测试 ,该 原型 
系统 在 内 核 版 本 2. 6. 14 及 以 下 的 Linux 系统 中 不 能 正常 运行 ,也 不 能 在 内 核 版 本 2. 6. 28 
及 以 上 的 Linux 系统 中 运行 。 如 果 要 将 原型 系统 在 主流 的 Ubuntu 系统 (内 核 版 本 2. 6. 28 
或 2.6.34) 上 运行 ,需要 进行 相应 的 移植 工作 。 

Netlink 机 制 在 内 核 层 的 实现 从 出 现 至 今 一 直 在 发 展 和 变化 着 ,目前 常 看 到 的 Linux 内 
核 版 本 其 Netlink 机 制 的 实现 都 有 明显 的 差别 ,而 且 这 种 差别 直接 体现 在 供 软件 开发 者 调 
用 的 接口 函数 上 。 如 Netlink 套 接 字 的 创建 函数 netlink_kernel_create() ,其 形式 参数 的 数 
量 和 类 型 一 直 在 变化 ,这 使 得 本 章 的 原型 系统 在 其 他 Linux 系统 上 连 正常 的 内 核 模 块 编译 
都 不 能 顺利 通过 ,更 谈 不 上 在 其 他 Linux 系统 中 运行 了 。 有 兴趣 的 读者 可 以 通过 阅读 和 理 
解 Netlink 机 制 的 实现 及 调用 接口 ,将 本 原型 系统 移植 到 主流 的 Ubuntu 系统 上 。 

另外 ,在 上 面 的 开发 实践 中 需要 获得 进程 的 当前 目录 ,以 和 相对 路 径 拼 合成 一 个 全 路 径 
文件 名 。 在 2. 6. 28 版 本 的 Linux 内 核 中 ,获得 当前 目录 所 需要 的 数据 结构 的 定义 有 所 改 
变 , 在 进行 移植 时 要 重点 注意 。 


9.6 本 章 小 结 


章 详细 阐述 了 一 个 基于 系统 调用 重 载 技术 的 文件 访问 日 志 系统 的 原型 开发 和 源 代码 
实现 过 程 ,该 原型 系统 重点 在 于 展示 系统 调用 的 工作 原理 、 如 何 实现 系统 调用 的 重 载 ,以 及 
如 何 利用 系统 调用 重 载 技术 实现 资源 访问 日 志 系 统 的 开发 方法 ,而 不 在 于 提供 一 个 完整 的 
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日 志 系统 。 本 章 的 开发 实践 除了 涉及 系统 调用 的 重 载 技术 外 ,还 重点 展示 了 Netlink 的 工 
作 原 理 , 以 及 如 何 基于 Netlink 的 套 接 字 接口 实现 内 核 层 与 应 用 层 之 间 的 数据 交换 。 

本 章 完 成 的 基于 系统 调用 重 载 的 日 志 系统 只 是 一 个 简单 的 原型 系统 ,本 章 最 后 部 分 详 
细 讨 论 了 在 本 原型 系统 基础 上 能 够 进行 的 具有 实际 安全 意义 的 扩展 开发 实践 。 有 兴趣 的 读 
者 可 以 在 此 原型 系统 的 基础 上 ,按照 9.5 节 中 的 内 容 进行 扩展 开发 实践 。 


习 题 


1. 对 比 9. 5.3 节 中 提 到 的 两 种 加 解密 实现 方案 , 即 系统 级 的 加 解密 和 应 用 级 的 加 解 
密 , 从 实现 难度 .实现 效率 、 安 全 性 .可 扩展 性 等 方面 阐述 这 两 种 加 解密 方案 的 优 缺 点 。 

2. 采用 LSM 注册 钩子 函数 的 方法 和 采用 系统 调用 重 载 的 方法 都 能 实现 资源 相关 的 访 
问 控制 ,从 实现 灵活 性 、 实 现 难度 等 方面 简 述 这 两 种 方法 的 优 缺 点 。 

3. 无 论 是 基本 型 文件 保险 箱 还 是 加 密 型 文件 保险 箱 ,作为 访问 保险 箱 的 钥匙 ,保险 箱 
管理 程序 都 是 保证 保险 箱 系统 安全 的 关键 。 如 何 才能 保证 保险 箱 管理 程序 不 被 臭 改 和 恶意 
攻击 ? 

4. 在 基于 系统 调用 重 载 的 日 志 系 统 实 现 中 ,简单 阐述 实现 日 志 记 录 合 并 等 处 理 的 必 

5. 简 述 基于 Netlink 机 制 实现 内 核 层 与 应 用 程序 间 的 数据 通信 时 ,内 核 层 和 应 用 程序 
分 别 需 要 完成 的 工作 。 

6. 简 述 在 所 重 载 的 文件 打开 系统 调用 ( 即 open 调用 ) 的 处 理 函数 中 ,如 何 获得 所 要 打 
开 文 件 的 全 路 径 名 。 

7. 在 9.2.3 节 介绍 函数 get_fullname () 时 提 到 ,该 函数 的 实现 方式 会 带 来 安全 漏洞 ， 
攻击 者 可 以 恶意 绕 过 原型 系统 中 的 系统 级 日 志 访 问 目标 文件 夹 。 请 举例 说 明 如 何 绕 过 原型 
系统 中 的 日 志 成 功 访问 到 原型 系统 中 设 定 目标 文件 夹 下 的 文件 。 

8. 在 本 章 的 开发 实践 中 ,为 何 通过 信号 处 理 函数 关闭 日 志文 件 ? 

9. 研读 9. 2.4 节 中 的 源 代码 ,简单 曾 述 获得 系统 调用 入 口 地 址 表 首 地 址 的 原理 和 技术 。 

10. 结合 实例 ,简单 曾 述 实现 系统 调用 重 载 的 大 致 流程 。 

11. 本 章 实 现 的 日 志 原 型 系统 是 否 能 够 在 Ubuntu( 内 核 版 本 2. 6. 28 等 ) 系 统 上 运行 ? 
如 果 不 能 ,如 何 才能 实现 系统 移植 ? 
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本 章 在 第 5 章 的 内 核 模块 包 过 滤 防 火 墙 实现 原理 基础 上 ,具体 毅 述 如 何 基 于 Linux 
Netfilter 框架 以 内 核 模块 的 形式 实现 包 过 滤 防 火 墙 。 本 章 首先 介绍 该 防火 墙 原型 系统 的 总 
体 设计 ,随后 介绍 源 代码 实现 过 程 ,最 后 介绍 防火 墙 原型 系统 的 测试 过 程 ,以 及 在 本 原型 系 
统 基础 上 所 能 进行 的 相关 扩展 开发 实践 。 


10.1 原型 系统 的 总 体 设计 


本 章 目的 在 于 用 实例 的 方式 展现 在 Linux 系统 Netfilter 框架 下 实现 内 核 模块 包 过 滤 
防火 墙 的 具体 方法 和 过 程 , 而 不 是 实现 复杂 的 过 滤 策 略 。 基 于 此 ,防火墙 原型 系统 所 支持 的 
过 滤 策 略 比 较 简单 ,主要 基于 具体 协议 类 型 . 报 文 源 IP 地 址 和 目标 IP 地 址 、 报 文 源 端口 和 
目标 端口 进行 IP 报 文 过 滤 和 控制 。 

本 章 原型 系统 分 为 两 部 分 独立 实现 ,一 部 分 是 运行 在 应 用 层 的 过 滤 规 则 配置 程序 ,用 来 
设置 和 启用 包 过 滤 规 则 和 配置 相应 的 规则 参数 ,包括 要 控制 的 协议 类 型 IJP 地 址 、 端 口 等 ; 
另 一 部 分 是 实现 IP 报 文 过 滤 的 Linux 内 核 模块 ,该 模块 通过 在 Netfilter 框架 中 注册 钧 子 
函数 的 方式 来 实现 对 IP 数据 包 的 过 滤 和 控制 。 

规则 配置 程序 和 内 核 模 块 分 别 运行 在 应 用 层 空 间 和 内 核 层 空间 ,从 操作 系统 基本 原理 
( 见 第 1 章 ) 可 知 , 内 核 模块 不 能 直接 访问 规则 配置 程序 中 的 过 滤 规 则 。 本 防火 墙 原 型 系统 
在 开发 过 程 中 采用 与 基于 LSM 的 文件 访问 控制 开发 实践 ( 见 第 8 章 ) 同 样 的 方法 , 即 规则 
配置 程序 和 内 核 模块 间 采 用 注册 设备 文件 结 点 的 方式 实现 应 用 程序 和 内 核 之 间 的 通信 ,以 
传递 所 配置 的 过 滤 规 则 和 人 参数。 

内 核 模 块 包 过 滤 防 火 墙 原型 系统 的 总 体 实现 结构 如 图 10-1 所 示 。 

防火 墙 原型 系统 采用 黑 名 单 的 控制 规则 , 即 配 置 规 则 约定 禁止 通过 报 文 的 报 文 信息 特 
征 。 内 核 模 块 在 截获 到 IP 报 文 后 ,将 该 报 文 的 信息 特征 与 配置 规则 中 指明 的 报 文 信息 特征 
进行 匹配 ,如 果 匹 配 成 功 则 阻止 该 报 文通 过 ,否则 放行 该 报 文 。 


10.1.1 规则 配置 程序 的 设计 


规则 配置 程序 主要 提供 输入 界面 ,让 用 户 可 以 设置 需要 控制 的 协议 类 型 、 源 IP 地 址 和 
目标 IP 地 址 、 源 端口 和 目标 端口 。 原 型 系统 中 约定 ,如 果 接 收 到 的 数据 包 的 协议 类 型 IP 
地 址 和 端口 号 与 所 配置 的 相 匹配 ,该 数据 包 将 被 丢弃 。 具 体 来 讲 , 该 配置 程序 主要 完成 两 方 
面 的 工作 : 四 从 用 户 的 输入 命令 中 解析 出 拟 被 丢弃 数据 包 的 协议 类 型 、 源 IP 地 址 和 目标 IP 
地 址 、 源 端口 和 目标 端口 . 即 解析 出 用 户 所 输入 的 报 文 过 滤 规 则 ; 回 创 建 一 个 新 的 设备 文 
件 ,通过 写 该 设备 文件 ,将 所 设置 的 过 滤 规 则 传递 给 Linux 内 核 模块 。 
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Netfilter 框架 


图 10-1 内 核 模块 包 过 滤 防 火 墙 的 总 体 实现 结构 


原型 系统 通过 命令 行 参数 来 配置 要 控制 数据 包 的 协议 类 型 . 源 IP 地 址 和 目标 IP 地 址 、 
源 端 口 和 目标 端口 , 形 如 : 


./configure -p protocol -x source ip-y dst_ip -m source port -n dst_port 


其 中 configure 为 原型 系统 规则 配置 程序 的 可 执行 文件 名 ,其 后 各 选项 的 具体 含义 
如 下 : 

。 -p protocol: 指明 要 控制 的 协议 (或 网 络 应 用 ) 类 型 ,为 tcp、udp、ping 三 种 之 一 

。 -x source_ip: 指明 要 控制 报 文 的 源 IP 地 址 ; 

。-y dst_ip: 指明 要 控制 报 文 的 目标 IP 地 址 ; 

。 -m source_port: 指明 要 控制 报 文 的 源 端 口 ; 

。-n dst_port: 指明 要 控制 报 文 的 目标 端口 。 

如 输入 “. /configure -p tcp -x 192. 168. 47. 183 -y 202. 120. 2. 120 -m 8888 -n 80”, 表示 
禁止 源 IP 地 址 为 192. 168. 47. 183 .目标 IP 地 址 为 202. 120. 2. 120, 源 端口 为 8888\ 目 标 端 
口 为 80 的 TCP 通信 。 

车 某 个 选项 省 略 ( 即 不 对 该 选项 进行 显 式 配置 ), 则 该 选项 的 设 定 值 为 默认 值 0,0 表示 
与 任意 值 相 匹 配 , 即 表 示 控 制 的 报 文 覆盖 该 选项 的 所 有 值 域 。 如 : 

。./configure -p ping 井 禁 止 所 有 源 IP 地 址 和 目标 IP 地 址 之 间 的 ping 操作 

。 . /configure -p ping -y 192.168.47.1 井 丢 弃 发 往 192. 168. 47. 1 的 ping 包 

。 . /configure -p tcp -y 192. 168. 47. 1 -n 80 ” 井 丢 弃 发 往 192. 168. 47. 1 的 80 端口 的 

TCP 包 

。 . /configure -p udp -x 202. 120. 2. 101 ” 井 丢弃 来 自 202.120. 2.101 的 UDP 包 

特别 注意 的 是 ,如 果 所 有 选项 都 省 略 ,表示 关闭 该 包 过 滤 防 火 墙 的 IP 报 文 过 滤 功能 ,而 
不 是 对 任意 的 报 文 进行 控制 。 命 令 形式 如 下 : 


./configure 井 取消 原来 的 控制 规则 配置 ,不 再 进行 IP 报 文 过 滤 
为 突出 实现 原理 和 简化 实现 细节 ,原型 系统 只 支持 一 条 控制 规则 ,只 有 最 新 配置 的 一 条 
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过 滤 规 则 是 有 效 的 ,后 配置 的 规则 会 覆盖 前 面 配置 的 规则 。 多 规则 支持 留 给 感 兴趣 的 读者 
在 原型 系统 基础 上 进行 扩展 开发 实践 ( 见 10. 5. 1 节 )。 


10.1.2 内 核 模块 的 设计 


内 核 模块 主要 功能 是 对 收 到 的 数据 包 进行 过 滤 , 即 依据 所 配置 的 过 滤 规 则 ,丢弃 与 所 配 
置 报 文 信息 特征 相 匹 配 的 数据 包 。 内 核 模 块 大 致 包括 以 下 四 个 部 分 : 

。 新 设备 文件 的 驱动 。 引 入 新 设备 文件 目的 是 完成 规则 配置 程序 向 内 核 模块 发 送 所 

配置 的 过 滤 规 则 ,因而 该 驱动 只 需 实现 该 设备 文件 的 写 操作 函数 即 可 。 该 写 操作 函 
数 的 主要 功能 是 接收 从 规则 配置 程序 写 入 设备 文件 的 内 容 ( 即 过 滤 规 则 ,包括 协议 
类 型 . 源 IP 地 址 和 目标 IP 地 址 、 源 端口 和 目标 端口 ), 然 后 将 该 内 容 保 存 至 内 核 模 
块 中 的 全 局 变量 中 。 
报 文 过 滤 控 制 函数 。 该 函数 在 模块 初始 化 阶段 会 被 注册 到 Netfilter 框架 的 相应 钧 
子 点 上 , 当 报 文 经 过 时 ,该 函数 将 会 被 自动 调用 ,而 且 Netfilter 框架 会 依据 该 函数 的 
返回 值 进行 报 文 过 滤 。 该 函数 依据 全 局 变量 中 保存 的 过 滤 规 则 ,对 是 否 过 滤 相 应 的 
IP 报 文 进行 逻辑 判断 ,并 将 判断 的 结果 作为 该 函数 的 返回 值 。Netfilter 框架 在 接收 
到 该 返回 值 时 ,会 据 此 对 报 文 进行 处 理 , 即 放行 或 阻止 该 报 文 。 

为 使 源码 结构 清晰 ,该 函数 在 实际 实现 时 对 应 一 组 函数 ,包括 一 个 总 入 口 函数 和 一 系列 
具体 规则 判断 函数 。 注 册 到 Netfilter 中 相应 钩子 点 的 函数 地 址 为 总 人口 函 数 地 址 ,总 和 人口 
函数 依据 报 文 的 不 同类 型 调用 相应 的 函数 进行 规则 判断 。 

。 内 核 模块 的 初始 化 函数 。 该 函数 在 内 核 模 块 加 载 时 会 被 Linux 自动 调用 ,主要 完成 
两 方面 的 初始 化 工作 。 一 是 注册 新 设备 文件 的 驱动 ,原型 系统 只 是 借助 于 新 设备 文 
件 获得 从 应 用 层 通 过 写 文件 操作 传递 到 内 核 模 块 的 数据 ,因此 只 需 注册 设备 驱动 中 
的 写 文件 操作 函数 即 可 。 二 是 将 预先 设计 好 的 报 文 过 滤 控 制 函 数 注册 到 Netfilter 
框架 的 相应 钧 子 点 ,本 原型 系统 实现 中 是 挂 在 IP_POST_ROUTING 点 上 , 即 在 对 
收 到 的 报 文 做 路 由 处 理 后 执行 包 过 滤 处 理 。 注 册 完 成 后 ,每 次 数据 报 文 在 路 由 处 理 
后 ,Netfilter 会 自动 调用 所 注册 过 的 钩子 函数 。 

内 核 模块 的 注销 函数 。 该 函数 在 内 核 模块 注销 时 被 Linux 自动 调用 ,主要 完成 设备 
文件 驱动 的 注销 ,以 及 从 Netfilter 框架 中 注销 所 注册 的 钩子 函数 。 注 销 之 后 , 报 文 
在 经 过 IP_POST_ROUTING 点 时 ,Netfilter 框架 不 再 调用 报 文 过 滤 控 制 函数 。 


10.2 规则 配置 程序 的 实现 


10.2.1 用 到 的 库 函 数 


规则 配置 程序 要 完成 的 任务 是 接收 用 户 的 命令 行 参数 输入 ,并 从 命令 行 参数 输入 中 解 
析出 包 过 滤 规则 信息 ,然后 再 以 写 设备 文件 的 方式 ,将 包 过 滤 规 则 信息 传递 给 防火 墙 原 型 系 
统 的 内 核 模块 ,以 便于 该 内 核 模块 据 此 进行 报 文 过 滤 与 控制 。 在 通过 编程 实现 规则 配置 时 ， 
需要 用 到 一 些 库 函 数 。 为 便于 理解 本 开发 实践 ,这 里 先 对 这 些 库 函 数 进行 简单 的 介绍 。 
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1. int getopt(int argc，char * const argv[ |, const char * optstring) ; 

该 函数 主要 被 用 来 解析 命令 行 选项 参数 ,参数 argc 和 参数 argv 由 函数 main() 中 的 参 
数 传递 而 来 ,分 别 表 示 命 令 行 的 参数 个 数 ( 注 : 因为 程序 名 也 被 考虑 在 参数 数量 中 ,因而 参 
数 argc 的 值 实际 为 参数 个 数 加 1) 和 每 个 参数 内 容 , 参数 optstring 代表 和 欲 处 理 的 选项 字 
符 串 。 

由 于 要 对 多 个 选项 参数 进行 处 理 ,因此 该 函数 通常 在 while 循环 中 反复 调用 ,直到 它 返 
回 一 1( 即 已 经 获得 所 有 的 选项 参数 ) 。 每 次 调用 中 , 当 找 到 一 个 有 效 选项 字母 , 它 就 返回 这 
个 字母 。 如 果 有 选项 参数 ,就 设置 变量 optarg( 库 函数 中 定义 的 变量 ,可 直接 使 用 ) 指 向 这 个 
参数 ,同时 会 设置 变量 optind( 库 函数 中 定义 的 变量 ,可 直接 使 用 ) 为 该 选项 参数 在 argv 中 
的 下 标 , 即 argvLoptind] 为 这 次 解析 出 的 参数 。 

2. int system(const char * string); 

该 函数 功能 是 执行 参数 string 表示 的 shell 命令 ,实现 原理 为 : 函数 system() 调 用 函数 
fork() 产 生子 进程 ,由 该 子 进 程 调用 “/bin/sh string”( 假 定 对 应 的 shell 为 /bin/sh) 来 执行 
参数 string 字符 串 所 代表 的 shell 命令 。 下 面 的 开发 实践 用 该 函数 执行 创建 设备 文件 的 
shell 命令 ( 即 mknod)。 

3. int stat(const char * pathname, struct stat * buf) ; 

该 函数 用 于 读 取 文件 pathname 的 文件 属性 信息 ,如 文件 类 型 inode 结 点 号 .文件 所 有 
者 等 。 该 函数 执行 成 功 后 ,相应 的 文件 属性 信息 保存 在 参数 buf 指向 的 stat 结构 体 中 。 下 
面 的 开发 实践 不 是 利用 该 函数 获得 设备 文件 的 属性 信息 ,而 是 间接 测试 用 于 传递 规则 配置 
信息 的 设备 文件 是 否 存 在 。 如 果 该 设备 文件 已 经 存在 ,就 不 用 再 创建 该 设备 文件 。 

函数 mknod() 已 经 在 第 8 章 进行 了 介绍 ,这 里 不 再 费 述 。 此 外 下 面 的 开发 实践 中 还 用 
到 一 些 函 数 , 如 strlen() ,strcpy() 、write() 等 , 因 读 者 比较 熟悉 ,这 里 也 不 再 袭 述 。 


10.2.2 规则 配置 程序 的 函数 组 成 


规则 配置 程序 主要 包含 如 下 的 三 个 函数 。 
。 主 函数 。 函 数 原型 为 : 


int main( int argc, char *argv[]); 


该 函数 作为 规则 配置 程序 的 总 入 口 ,完成 的 主要 功能 是 ,首先 调用 命令 行 参数 解析 
函数 getpara() 从 命令 行 选项 中 解析 出 要 控制 的 协议 类 型 .IP 地 址 、 端 口 等 信息 , 即 
过 滤 规 则 ,如 果 命 令 行 选项 错误 , 则 调用 函数 display_usage() 向 用 户 提示 正确 的 命 
令 行 格式 。 然 后 将 这 些 所 配置 的 过 滤 规 则 信息 封装 在 一 个 缓冲 区 中 ,通过 写 特 定 的 
设备 文件 (如 果 该 设备 文件 不 存在 ,将 先 通过 mknod 命令 创建 该 设备 文件 ) 将 该 规 
则 信息 写 人 到 内 核 中 ,防火 墙 原型 系统 的 内 核 模块 会 通过 设备 驱动 的 方式 接收 这 些 
过 滤 规 则 信息 。 

命令 行 参数 解析 函数 。 函 数 原型 为 : 


int getparal( int argc, char * argv[]); 


该 函数 主要 从 用 户 输入 的 命令 行 选项 中 提取 相应 的 过 滤 规 则 信息 , 即 要 控制 报 文 的 
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协议 类 型 . 源 IP 地 址 和 目标 IP 地 址 \ 源 端口 和 目标 端口 ,然后 将 这 些 信息 保存 在 全 
局 变量 中 ,最 后 通过 写 设 备 文件 的 方式 发 送 至 防火 墙 原型 系统 的 内 核 模块 。 
参数 格式 提示 函数 。 函 数 原型 为 : 


void display usage(char * commandname); 


主 扔 数 


main 


该 函数 主要 向 用 户 显示 该 规则 配置 程序 下 页 信行 多 玫 负 下 | 。[ 基 天 佑 式 近 示 东 玫 
确 的 命令 行 选 项 和 格式 。 getpara display_usage 
规则 配置 程序 中 的 函数 调用 关系 如 图 10-2 图 10-2 规则 配置 程序 中 的 函数 调用 关系 
所 示 。 
10.2.3 头 文 件 和 全 局 变量 


在 该 规则 配置 程序 的 实现 中 ,涉及 到 的 头 文件 具体 为 : 


# include < sYs/types.h> 
# include < sys/stat. h> 
# include < stdio.h> 
#include < fcnt1.h> 

# include <unistd.h> 

# include < string.h> 

# include < stdlib.h> 


该 规则 配置 程序 定义 5 个 全 局 变量 ,保存 用 户 通 过 命令 行 选项 配置 的 控制 信息 。 


unsigned int controlled protocol = 0; // 要 控制 报 文 的 协议 类 型 
unsigned short controlled srcport = 0; // 要 控制 报 文 的 源 端口 
unsigned short controlled dstport = 0; // 要 控制 报 文 的 目标 端口 
unsigned int controlled saddr = 0; // 要 控制 报 文 的 源 IP 地 址 
unsigned int controlled daddr = 0; // 要 控制 报 文 的 目标 IP 地 址 
10.2.4 函数 的 源 代 码 实现 
1. 主 函 数 
int main(int argc, char * argv[]){ 
char controlinfo[ 32]; // 规 则 信息 的 缓冲 区 
int controlinfo_len = 0; // 规 则 信息 的 长 度 , 为 0 表示 关闭 防火 墙 
int fd; // 用 于 保存 设备 文件 打开 后 的 文件 描述 符 
struct stat buf; // 用 于 获取 设备 文件 是 否 存在 的 临时 缓冲 区 


证 (argc == 1){ /* 后 不 跟 任何 参数 ,表示 用 户 要 关闭 防火 墙 , 对 照 内 核 控制 模块 的 实现 , 如 
果 规 则 配置 程序 通过 写 设备 文件 向 内 核 传 入 的 规则 信息 长 度 为 0, 将 会 
设置 防火 墙 启用 标志 (enable_flag) 为 0, 进而 关闭 防火 墙 的 报 文 检查 控 
制 功能 。* / 
controlinfo len = 0; 
else{ 
getpara(argc, argv); // 获 得 命令 行 选项 中 规则 信息 到 相应 的 全 局 变量 中 
/* 将 规则 信息 按 : 要 控制 报 文 的 协议 类 型 ,要 控制 报 文 的 源 IP 地 址 ,要 控制 报 文 的 目标 IP 
地 址 ,要 控制 报 文 的 源 端口 ,要 控制 报 文 的 目标 端口 的 次 序 , 每 个 字段 占 4 字 节 的 格式 来 
组 织 规则 信息 缓冲 区 。 对 照 内 核 模块 的 实现 可 知 ,缓冲 区 中 的 内 容 经 过 写 设 备 文件 传 
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向 内 核 模 块 时 , 内核 模 块 按 上 述 格式 解析 规则 信息 。* / 


x (int * )controlinfo = controlled _ protocol; // 要 控制 报 文 的 协议 类 型 
x (int *)(controlinfo + 4) = controlled saddr; // 要 控制 报 文 的 源 IP 地 址 
# (int *)(controlinfo + 8) = controlled daddr; // 要 控制 报 文 的 目标 IP 地 址 


x*(int *)(controlinfo + 12) = controlled srcport; // 要 控制 报 文 的 源 端口 
x (int *)(controlinfo + 16) = controlled dstport; // 要 控制 报 文 的 目标 端口 
controlinfo len = 20; // 设 置 规则 信息 的 长 度 
} 
if (stat("/dev/controlinfo", gbuf) != 0){ // 用 stat 调用 来 测试 设备 文件 是 否 已 经 存在 
/* 如 果 设 备 文件 不 存在 , 则 先 调用 mknod 创建 该 设备 文件 ,注意 创建 设备 文件 的 参数 要 与 
内 核 中 设备 注册 的 相应 参数 一 致 * / 
if (system("mknod /dev/controlinfo c 124 0") == -1){ /创建 设备 文件 
printf("Cann't create the devive file ! \n"); 
printf("Please check and try again! \n"); 


exit(1); 
L 
} 
fd = open("/dev/controlinfo",O_RDWR,S_IRUSR|S_IWUSR); // 打 开 该 设备 文件 
if (fd > 0){ 


write(fd, controlinfo, controlinfo_len); // 将 所 配置 的 规则 信息 写 人 到 设备 文件 
} 


else{ 
perror("can't open /dev/controlinfo \n"); // 输 出 错误 信息 
exit (1); 
} 
close(fd); // 关 闭 打开 的 设备 文件 


} 
2. 命令 行 选项 解析 函数 


int getpara( int argc，char * argv[]){ 
int optret; 


unsigned short tmpport; // 保 存 端口 的 临时 变量 
optret = getopt(argc, argv, "pxymnh" ) ; // 获 取 第 一 个 选项 
while( optret != -1 )1{ 
switch( optret ) { // 按 不 同 的 选项 进行 处 理 
case 'p': // 该 选项 为 协议 类 型 


/* ICMP，TCP,，UDP 这 三 种 协议 的 标识 分 别 为 1,6,17*/ 
证 (strncmp(argv[optind], "ping",4) == 0 ) 
controlled_protocol = 1;  // 用 户 希 望 对 ping 命令 进行 控制 
else 
if ( strncmp(argv[optind], "tcp",3) == 0 ) 
controlled protocol = 6; // 用 户 希 望 控制 TCP 报 文 
else 
if ( strncmp(argv[optind]，"udp",3) == 0 ) 
controlled_protocol = 17; // 用 户 希望 控制 UDP 报 文 
else { //-p 后 跟 非 “ping“tcp”udp”, 即 不 支持 的 协议 类 型 
printf("Unkonwn protocol! please check and try again! \n"); 
exit(1); 


break; 


第 10 章 “” 内核 模块 包 过 滤 防 火 墙 的 原型 实现 159 


case ‘x': // 该 选项 为 源 IP 地 址 
/* inet_aton 用 于 将 十 进 制 点 分 IP 地 址 格式 “如 192.168. 47.1" 转 化 为 32 位 整 
数 型 IP 地 址 格式 */ 
if (inet aton(argv[optind], (struct in addr * )&controlled saddr) ==0) { 
printf("Invalid source ip address! please check and try again! \n "); 
exit(1); 
} 
break; 
case "了 : // 该 选项 为 目标 I 地址 
if ( inet aton(argv[optind], (struct in addr* )&controlled daddr) == 0){ 
printf("Invalid destination ip address! please check and try again! \n "); 


exit(1); 
} 
break; 
Case 'm': // 该 选项 为 源 端口 
tmpport = atoi(argv[optind]); //atoi 将 字符 串 类 型 转化 为 数字 型 


if (tmpport == 0){ 
printf("Invalid source port! please check and try again! \n "); 
exit(1); 
} 
controlled_srcport = htons(tmpport); // 转 化 为 网 络 字 节 序 
break; 
case 'n': // 该 选项 为 目标 端口 
tmpport = atoi(argv[optind]); 
if (tmpport == 0){ 
printf("Invalid source port! please check and try again! \n "); 
exit(1); 
l 
Controlled dstport = htons(tmpport); 
break; 
case 'h': // 用 户 输入 h, 表示 需要 帮助 (help) 
CAse "7": 
display_usage(argv[ 0]); // 提 示 用 户 命令 行 选项 格式 
exit(1); 
default: 
printf("Invalid parameters! \n "); 
display_usage(argv[0]); // 提 示 用 户 命令 行 选项 格式 
exit(1);; 
} 
optret = getopt(argc,argv, "pxymnh"); // 处 理 下 一 个 选项 


} 
3. 命令 行 选项 提示 函数 


void display usage(char * commandname){ 
printf("Usage 1: %s\n", commandname); // 后 不 跟 任何 参数 , 即 关闭 防火 墙 功 能 
printf("Usage 2: %s —x saddr ~ydaddr —m srcport —n dstport \n", commandname); 
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10.3 内核 控制 模块 的 实现 


Linux 内 核 模块 在 运行 时 是 Linux 内 核 的 一 部 分 ,因此 在 进行 Linux 内 核 模块 编程 时 ， 
可 使 用 Linux 内 核 中 已 有 的 各 种 资源 或 信息 。 事 实 上 ,内 核 模块 编程 必须 使 用 已 有 的 资源 
或 信息 ,否则 新 编写 的 内 核 模块 就 不 能 很 好 地 与 原 有 内 核 部 分 发 生 信息 交互 ,也 难以 实现 新 
编写 内 核 模块 的 功能 目标 。 新 内 核 模块 能 够 使 用 的 内 核资 源 主要 包括 数据 结构 、 全 局 性 
或 导出 的 各 类 符号 (如 常量 、 变 量 、 函 数 ) 等 。 通 过 包含 Linux 内 核 中 的 原 有 头 文件 ,在 新 
编写 的 内 核 模 块 中 就 可 以 使 用 对 应 的 资源 。 如 果 新 编写 的 内 核 模块 中 使 用 了 原 内 核 导 
出 的 符号 ,在 模块 加 载 时 ,Linux 内 核 会 依据 符号 表 将 对 该 符号 的 引用 定位 到 相应 的 内 存 
地 址 。 

该 节 首 先 介绍 防火 墙 原 型 系统 的 内 核 模块 开发 时 要 用 到 的 外 部 函数 和 结构 。 


10.3.1 外 部 函数 及 结构 


在 进行 内 核 模块 编程 时 ,应 该 依据 模块 要 实现 的 功能 ,确定 需要 使 用 Linux 内 核 中 的 哪 
些 结构 变量 以 及 函数 等 。 在 本 原型 系统 实现 中 需要 涉及 以 下 的 数据 结构 及 函数 。 


1. struct nf_hook_ops 


该 结构 体 描述 Netfilter 钩子 函数 所 需要 的 注册 信息 ,如 钩子 函数 的 地 址 指针 钩子 函 
数 的 注册 位 置 以 及 优先 级 等 。 在 下 面 的 开发 实践 中 ,进行 Netfilter 钩子 函数 注册 时 需要 以 
nf_hook_ops 结构 体 的 指针 变量 为 参数 。 
struct nf_hook_ops{ 
struct list_head list; 
nf_hookfn* hook; 
int pf; 
int hooknum; 
int priority; 
}; 
list 域 用 于 维护 Netfilter hook 列表 ,在 注册 钧 子 函 数 时 可 不 关心 该 域 。 
hook 域 是 一 个 指向 nf_hookfn 类 型 的 函数 指针 ,该 函数 就 是 所 注册 的 钧 子 函 数 。 
pf 域 用 于 指定 协议 ,本 原型 系统 主要 控制 IPv4 的 报 文 ,IPv4 在 Netfilter 框架 体系 中 对 
应 的 协议 标识 为 PF_INET。 
hooknum 域 用 于 指明 所 注册 函数 对 应 的 hook 类 型 ( 即 对 应 的 钧 子 点 ) ,也 就 是 将 钩子 
函数 注册 在 哪个 钩子 点 上 。 在 Netfilter 的 开发 环境 中 ,对 每 个 钧 子 点 进行 数字 类 型 的 宏 定 
义 , 表 10-1 说 明了 每 个 钩子 点 的 调用 时 机 。 本 章 原型 系统 的 开发 实践 选择 了 NF_IP_POST_ 
ROUTING 作为 注册 的 钧 子 点 。 
最 后 ,priority 域 用 于 指定 拟 注册 钩子 函数 的 优先 级 顺序 ,如 果 Netfilter 框架 中 已 经 注 
册 过 高 优先 级 的 钩子 函数 ,这 次 注册 就 不 会 成 功 。 下 文 的 开发 实践 选择 的 优先 级 为 NF_IP_ 
PRI_FIRST, 即 最 高 优先 级 。 
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表 10-1 Netfilter 框架 中 的 钩子 点 


Hook 调用 的 时 机 
NF_IP_ PRE_ROUTING 在 完整 性 校 验 之 后 、 选 路 确定 前 调用 
NF_IP_LOCAL_IN 限于 目标 地 址 是 本 地 主机 的 数据 包 , 在 选 路 确定 后 调用 
NF_IP_FORWARD 限于 目标 地 址 是 其 他 主机 的 数据 包 , 在 转发 时 调用 
NF_IP_LOCAL_OUT 限于 源 于 本 机 的 数据 包 , 选 路 确定 前 调用 
NF_IP_POST_ROUTING 在 数据 包 离 开本 地 主机 前 调用 


2. 钩子 函数 注册 函数 /钩子 函数 卸载 函数 
函数 原型 分 别 为 : 


int nf_register hook(struct nf_hook ops * ops); 
void nf_unregister hook (struct nf_hook ops * reg); 


前 一 个 函数 是 Netfilter 框架 提供 的 钩子 函数 注册 函数 ,用 于 在 Netfilter 框架 中 注册 相 
应 的 钧 子 函数 ,成 功 返 回 0, 失 败 返 回 非 0。 该 函数 以 nf_hook_ops 结构 体 指针 作为 参数 ,一 
旦 注册 成 功 , 当 有 IP 报 文 到 达 所 注册 的 钧 子 点 时 ,nf_hook_ops 结构 体 中 hook 域 指 向 的 函 
数 就 会 被 自动 调用 。 

后 一 个 函数 是 Netfilter 框架 提供 的 钩子 函数 印 载 函数 ,相当 于 是 函数 nf_register_hook() 
的 逆向 操作 函数 。 一 旦 务 载 成 功 ,前 面 注册 的 钧 子 函 数 就 不 再 发 生 作 用 ,IP 报 文 在 流 经 
Netfilter 框架 的 相应 钩子 点 时 , 钧 子 函 数 就 不 会 再 被 调用 。 在 下 面 的 开发 实践 中 ,关闭 该 防 
火 墙 时 需要 调用 该 函数 。 

3. struct sk_buff 


该 结构 体 用 于 维护 一 个 网 络 数据 包 的 各 种 信息 。Netfilter 在 钧 子 点 调用 注册 的 钧 子 函 
数 时 ,会 传递 给 钩子 函数 一 个 该 结构 体 的 变量 ,该 变量 保存 了 Netfilter 正在 处 理 报 文 的 各 
种 信息 。 通 过 分 析 该 变量 中 各 个 域 的 内 容 , 就 可 以 知道 当前 IP 报 文 的 各 种 信息 (如 协议 类 
型 . 源 IP 地 址 和 目标 IP 地 址 、 源 端口 和 目标 端口 等 ), 基 于 这 些 信息 就 可 以 运用 既定 的 包 过 
滤 规 则 ,判断 出 应 该 放行 或 阻止 该 报 文 。 

在 进行 本 开发 实践 时 ,需要 详细 了 解 该 结构 体 中 的 相关 域 。 因 该 结构 体 比较 复杂 ,下 面 
只 列 出 与 本 开发 实践 相关 的 域 。 该 结构 体 定义 在 Linux 内 核 源 码头 文件 include/linux/ 
skbuff. h 中 ,可 直接 查看 Linux 内 核 源 代码 以 进一步 了 解 该 结构 体 的 具体 内 容 。 


struct sk_buff { 


union { 
struct iphdr x* iph; // 该 数据 包 (IPv4 版 本 )IP 头 部 所 在 的 位 置 指针 
struct ipv6hdr * ipv6éh; 
struct arphdr x* arph; 
unsigned char 关 raw; 
} nh; 


unsigned char * data; // 对 应 报 文 的 数据 缓冲 区 指针 
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在 下 文 的 开发 实践 中 ,将 通过 上 述 nh. iph 域 和 data 域 来 确定 所 收 到 IP 数据 包 的 各 种 
信息 


吾 已 , 。 
4. struct iphdr 


在 基于 源 IP 地 址 和 目标 IP 地 址 进行 报 文 过 滤 时 ,还 需要 访问 IP 报 文 头 的 结构 体 , 该 
结构 定义 在 内 核 源 码 文件 (include/linux/ip. h) 中 。 下 面 列 出 本 开发 实践 中 用 到 的 数据 
字段 。 

struct iphdr { 


_ u8 ihl:4, version:4; /x* ihl 表示 该 IP 报 文 的 头 部 长 度 , 从 IP 头 部 开始 加 上 此 长 度 即 为 
对 应 的 传输 层 协议 首部 * / 


__u8 protocol; /* 指 明 该 IP 报 文 的 数据 载荷 是 哪 种 传输 协议 的 数据 ,ICMP、TCP 或 者 UDP 等 ， 
该 字段 保存 对 应 的 协议 标识 ,这 三 种 协议 的 标识 分 别 为 1,6,17* / 


_be32 saddr; // 该 莫 报 文 的 源 IP 地 址 
_be32 daddr; // 该 IP 报 文 的 目标 IP 地址 
}; 


5. struct icmphdr 

ping 程序 是 最 常见 的 用 作 测 试 远程 主机 是 否 网 络 可 达 的 工具 程序 ,该 程序 基于 ICMP 
报 文 测试 远程 主机 是 否 可 连通 , 即 向 远程 主机 发 送 一 个 ICMP 报 文 ,通过 是 否 收 到 远程 主机 
响应 的 ICMP 报 文 来 确定 远程 主机 是 否 网 络 可 达 。 

在 对 ping 应 用 进行 控制 时 需要 解析 ICMP 报 文 的 头 结构 ,本 章 的 开发 实践 只 关心 
ICMP 报 文 的 类 型 。ICMP 报 文 一 共有 15 种 类 型 ,其 中 类 型 8 是 执行 ping 应 用 的 主机 发 出 
的 ping 请 求 报 文 ,类 型 0 为 被 ping 的 目标 主机 所 回应 的 ping 回 显 报 文 。 禁 止 ping 就 需要 
对 这 两 类 的 ICMP 报 文 进行 判断 和 控制 ,不 难 理解 只 要 禁止 其 中 一 类 报 文 就 能 阻止 ping 
应 用 。 

ICMP 报 文 头 结构 定义 在 Linux 内 核 源 代码 文件 (include/linux/icemp. h) 中 ,这 里 仅 列 
出 本 章 用 到 的 域 。 


struct icmphdr { 
_u8 type; // 表 示 该 ICMP 报 文 的 类 型 


}; 

6. struct tcphdr 

下 文 的 开发 实践 需要 解析 TCP 报 文 的 头 结构 ,用 于 获得 该 报 文 的 源 端口 和 目标 端口 。 
该 结构 定义 在 内 核 源 代码 文件 (include/linux/tcp. bh) 中 ,下 面 仅 列 出 本 开发 实践 用 到 的 域 。 


struct tcphdr { 
_u6 source; // 该 TCP 报 文 的 源 端口 
_ul6 dest; // 该 TCP 报 文 的 目标 端口 
}; 
7. struct udphdr 
下 文 的 开发 实践 需要 解析 UDP 报 文 的 头 结构 ,用 于 获得 该 报 文 的 源 端口 和 目标 端 
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口 。 该 结构 定义 在 内 核 源 代码 文件 Cinclude/linux/udp. hb) 中 ,下 面 仅 列 出 本 开发 实践 用 到 
的 域 。 


struct udphdr { 
_ul6 source; // 该 UDP 报 文 的 源 端口 
__ ul6 dest; // 该 UDP 报 文 的 目标 端口 


}; 


除 上 述 列 出 的 数据 结构 和 函数 外 ,本 章 开发 实践 还 会 用 到 struct file_operations 结构 
体 ,以 及 copy_from_user() .register_chrdev()、unregister_chrdev() 等 外 部 函数 ,这 些 结构 
体 和 外 部 函数 在 第 8 章 的 开发 实践 中 已 有 描述 ,这 里 不 再 袭 述 。 


10.3.2 头 文件 .全 局 变量 及 声明 
1. 内 核 模块 实现 涉及 到 的 头 文件 和 宏 定 义 


# include < linux/kernel. h> 

#include < linux/module.h> 

# include < linux/types. h> 

# include < linuxVif_ether.h> 

# include < linux/netfilter.h> 

# include < linux/netfilter_ipv4.h> 

# include < linux/tcp.h> 

# include < linux/ip.h> 

# include < linux/icmp.h> 

# include < linux/udp.h> 

# define MATCH 1 // 表 示 端 口 .IP 地 址 匹配 的 结果 一 一 与 要 控制 的 IP 地址、 端口 一 致 
# define NMATCH 0 // 表 示 端 口 、IP 地 址 匹配 的 结果 一 一 与 要 控制 的 IP 地 址 、 端 口 不 一 致 


2. 本 原型 系统 的 源 代码 实现 中 所 定义 的 五 类 全 局 变量 
。 过滤 信息 类 变量 。 


unsigned int controlled_protocol = 0; /* 表示 要 控制 报 文 的 协议 类 型 : 1 一 ICMP, 6 一 TCP, 17 一 
UDP* / 

unsigned short controlled_srcport = 0; /* 表示 要 控制 报 文 的 源 端 口 ,0 表示 控制 所 有 源 端 口 的 报 
文 ,该 变量 只 对 TCP 报 文 和 UDP 报 文 有 效 * / 

unsigned short controlled_dstport = 0; /* 表示 要 控制 报 文 的 目标 端口 ,该 变量 只 对 TCP 报 文 和 
UDP 报 文 有 效 * / 

unsigned int controlled saddr = 0; // 表 明 要 控制 报 文 的 源 IP 地 址 

unsigned int controlled daddr = 0; // 表 明 要 控制 报 文 的 目标 IP 地 址 


，。 防火 墙 启用 标志 变量 。 


int enable_flag = 0; /* 表 示 是 否 启用 防火 墙 的 IP 报 文 控制 功能 , 当 执行 规则 配置 程序 时 不 加 任 
何 参数 ,该 标志 变量 置 0, 否则 置 1。 内 核 模块 在 进行 IP 报 文 控制 之 前 ， 
首先 检查 该 变量 , 如 果 为 0, 则 不 进行 任何 TP 报 文 检查 和 控制 * / 


"设备 驱动 变量 。 


struct file operations fops = { 


‘owner :THIS_MODULE, // 约 定 使 用 范围 仅 限于 该 模块 
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write: write controlinfo, 

}; 

变量 fops 对 应 了 一 个 设备 开关 表 , 该 变量 将 会 被 注册 为 新 创建 设备 文件 的 驱动 。 由 于 
本 原型 系统 开发 中 的 设备 文件 仅 用 来 传递 IP 报 文 控制 相关 的 规则 配置 信息 ,因此 只 需 实现 
该 设备 文件 的 写 操作 函数 。 其 他 操作 函数 使 用 系统 默认 的 处 理 函 数 即 可 ,无 需 再 另行 指明 。 
变量 中 的 write_controlinfo 即 为 新 设备 文件 的 写 操作 处 理 函 数 。 

”钩子 函数 注册 信息 的 结构 体 变 量 。 

static struct nf_hook_ops myhook; “ /* 该 变量 用 于 保存 钩子 函数 注册 时 用 到 的 各 种 信息 ,如 函数 

地 址 、 钩 子 点 位 置 . 优 先 级 等 。 内 核 模块 在 初始 化 时 将 会 


填充 该 结构 变量 , 然后 以 该 变量 为 参数 , 调用 函数 nf_ 
register_hook() 完 成 钩子 函数 的 注册 * / 


。 保 存 IP 报 文 信息 的 全 局 变量 。 


struct sk_buff * tmpskb; // 本 次 所 处 理 IP 报 文 的 缓冲 区 结构 指针 
struct iphdr * piphdr; // 本 次 所 处 理 IP 报 文 的 IP 头 部 指针 
3. 函数 声明 


同 其 他 内 核 模块 相关 的 开发 实践 一 样 , 该 原型 系统 的 内 核 模 块 源 代码 中 也 需要 声明 哪 
个 函数 是 内 核 模块 初始 化 函数 ,以 及 哪个 函数 是 内 核 模 块 注销 函数 。 因 此 在 内 核 模块 编程 
中 需要 通过 两 个 已 经 存在 的 宏 定义 ,来 声明 相应 的 内 核 模块 初始 化 函数 和 内 核 模 块 注销 隐 
数 , 具 体 为 : 

module_initcall( initmodule); 

module_exit(cleanupmodule); 

函数 initmodule() 和 函数 cleanupmodule() 是 本 章 开 发 实践 中 自行 编写 的 两 个 函数 ,前 
者 用 于 完成 新 设备 注册 以 及 Netfilter 的 钩子 函数 注册 ,后 者 完成 相反 的 工作 , 即 注销 已 注 
册 的 设备 和 Netfilter 的 钩子 函数 。 

为 防止 编译 出 的 内 核 模块 在 运行 过 程 中 出 现 *kernel tainted” 一 类 的 警告 ,现在 的 一 些 
Linux 内 核 版 本 要 求 内 核 模块 通过 宏 MODULE_LICENSE 声明 此 模块 的 许可 证 。 通 常 内 
核 可 接受 的 许可 证 有 “GPL”、“GPL V2” 等 ,这 里 的 许可 证 声明 如 下 : 


MODULE_LICENSE("GPL" ) ; 


10.3.3 ”函数 组 成 及 功能 设计 


本 原型 系统 的 内 核 模块 实现 共 包 括 如 下 九 个 函数 。 
。 端 口号 匹配 函数 。 函 数 原型 为 : 


int port_check(unsigned short srcport, unsigned short dstport); 


该 函数 主要 功能 是 检查 所 接收 报 文 的 源 端 口号 (由 参数 srcport 指定 )、 目 标 端口 号 
(由 参数 dstport 指定 ) 与 规则 中 需要 控制 的 源 端口 号 (由 全 局 变量 controlled_srcport 
指定 ) 目标 端口 号 (由 全 局 变量 controlled_dstport 指定 ) 是 否 相 同 , 如 果 相 同 返回 
MATCH ,否则 返回 NMATCH。 如 果 规 则 中 没有 指定 端口 号 , 则 返回 MATCH , 意 
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味 着 对 任意 端口 的 报 文 都 要 进行 控制 。 
IP 地 址 匹配 函数 。 函 数 原型 为 : 


int ipaddr check(unsigned int saddr, unsigned int daddr); 


该 函数 主要 功能 是 检查 所 接收 报 文 的 源 IP 地 址 (由 参数 saddr 指定 )、 目 标 IP 地 址 
(由 参数 daddr 指定 ) 与 规则 中 需要 控制 的 源 IP 地 址 (由 全 局 变量 controlled_saddr 
指定 )、 目 标 IP 地 址 (由 全 局 变量 controlled_daddr 指定 ) 是 否 相 同 ,如 果 相 同 返 回 
MATCH ,否则 返回 NMATCH。 如 果 规 则 中 没有 指定 IP 地 址 , 则 返回 MATCH， 
意味 着 对 任意 IP 地 址 的 报 文 都 要 进行 控制 。 

ICMP 报 文 过 滤 函 数 。 函 数 原型 为 : 


int icmp_check(void); 


该 函数 主要 功能 是 检查 ICMP 数据 包 。 首 先 剥 掉 报 文 的 IP 头 ( 具 体 方法 可 参看 sk_ 
buff 结构 体 的 使 用 ) ,使 指针 指向 ICMP 头 。 这 里 只 对 ICMP 类 型 为 0 和 8 的 数据 
包 加 以 限制 ,分 别 为 回 显 应 答 报 文 和 请 求 报 文 ,其 他 类 型 的 ICMP 报 文 让 其 通过 防 
火 墙 。 对 类 型 为 0 和 8 的 ICMP 报 文 ,该 函数 先 调用 函数 ipaddr_check() 进 行 地 址 
匹配 ,然后 根据 匹配 结果 返回 NF_ACCEPT 或 NF_DROP。 

TCP 报 文 过 滤 函 数 。 函 数 原型 为 


int tcp_check(void) ; 


该 函数 主要 功能 是 检查 TCP 数据 包 。 首 先 剥 掉 报 文 的 IP 头 ( 具 体 方法 可 参看 sk_ 
buff 结构 体 的 使 用 ) ,使 指针 指向 TCP 头 ,然后 调用 函数 ipaddr_check() 进 行 地 址 
匹配 ,并 调用 函数 port_check() 进 行 端口 匹配 ,如 果 这 两 个 函数 的 返回 值 均 为 
MATCH ,该 函数 返回 NF_DROP, 即 禁止 该 报 文通 过 ,否则 返回 NF_ACCEPT, 放 
行 该 报 文 。 

UDP 报 文 过 滤 函 数 。 函 数 原型 为 : 


int udp_check(void); 


该 函数 主要 功能 是 检查 UDP 数据 包 。 首 先 剥 掉 报 文 的 IP 头 ( 具 体 方法 可 参看 sk_ 
buff 结构 体 的 使 用 ) ,使 指针 指向 UDP 头 ,然后 调用 函数 ipaddr_check() 进 行 地 址 
匹配 ,及 调用 函数 port_check() 进 行 端 口 匹 配 , 如 果 这 两 个 函数 的 返回 值 均 为 
MATCH ,该 函数 返回 NF_DROP, 即 禁止 该 报 文通 过 ,否则 返回 NF_ACCEPT, 放 
行 该 报 文 。 

注册 的 钩子 函数 。 函 数 原型 为 : 

unsigned int hook_func(unsigned int hooknum, struct sk_ buff xx skb,const struct net device * in, 
const struct net device * out, int (* okfn)(struct sk buff * )); 

该 函数 将 会 注册 到 Netfilter 相应 钩子 点 ,一旦 有 报 文通 过 该 钩子 点 时 ,该 函数 会 自 
动 被 Netfilter 框架 调用 。 该 函数 首先 检查 全 局 变量 enable_flag, 若 为 0, 表示 用 户 
关闭 了 该 防火 墙 的 报 文 检查 和 过 滤 功 能 ,直接 返回 NF_ACCEPT 放行 该 报 文 ,否则 
根据 该 IP 报 文 的 协议 类 型 ,调用 相应 协议 的 检查 函数 (udp_check(),tcp_check()， 
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icmp_check()) ,根据 函数 的 返回 结果 ,形成 并 返回 控制 结果 , 即 NF_ACCEPT 或 
NF_DROP。 
设备 的 写 操作 函数 。 函 数 原型 为 : 


int write_controlinfo(int fd, char * buf, ssize t len); 


该 函数 是 所 注册 新 设备 的 驱动 函数 ,用 于 处 理 对 应 设备 文件 的 写 文 件 操作 。 其 主要 
任务 是 通过 调用 函数 copy_from_user() ,将 来 自 应 用 层 空间 的 缓冲 区 内 容 ( 即 控制 
规则 信息 ,由 参数 buf 传递 进 该 函数 ) 复 制 到 内 核 层 空间 的 缓冲 区 (一 组 全 局 变 
量 ) 中 。 

内 核 模 块 初始 化 函数 。 函 数 原型 为 : 


int initmodule( ); 


该 函数 在 内 核 模块 加 载 时 被 Linux 内 核 自 动 调用 ,该 函数 的 主要 功能 有 两 个 : 一 是 
调用 外 部 函数 nf_register_hook(), 将 全 局 变量 myhook 中 的 钩子 函数 注册 到 
Netfilter 框架 ,完成 钩子 函数 注册 ; 二 是 调用 外 部 函数 register_chrdev() ,以 全 局 变 
量 fops 为 设备 驱动 ,注册 一 个 新 字符 设备 。 

。 内 核 模块 注销 函数 。 也 数 原型 为 : 
void cleanupmodule( ); 

该 函数 在 内 核 模块 注销 时 被 Linux 内 核 自 动 调用 ,主要 完成 设备 文件 驱动 的 注销 ,以 及 

从 Netfilter 框架 中 注销 所 注册 的 钧 子 函 数 。 
上 述 报 文 检查 相关 的 六 个 函数 ( 即 前 六 个 函数 ) 间 的 调用 关系 如 图 10-3 所 示 。 


钩 了 攻 数 
hook_func 
| | [ 
1 + 
icmp 投 文 过 滤 消 数 tcp 报 文 过 滤 国 数 udp 报 文 过 滤 国 数 
icmp_check tcp_check udp_ check 
IP 地 址 匹配 函数 端口 号 匹配 隐私 
ipaddr_check port_check 


图 10-3 ”实现 报 文 检查 功能 的 函数 组 成 及 调用 关系 


10.3.4 函数 实现 与 注释 


1. 端口 号 匹配 函数 


int port_check(unsigned short srcport, unsigned short dstport){ 
// 按 要 控制 的 源 端口 和 目标 端口 是 否 为 0, 分 四 种 情况 处 理 
if ((controlled srcport == 0 ) && ( controlled dstport == 0 )){ /* 要 控制 的 源 端 口 和 目 
标 端 口 均 为 0, 表示 对 所 有 的 源 端 口 和 目标 端口 进行 控制 * / 
return MATCH; 
if ((controlled srcport ! = 0 ) && ( controlled dstport == 0 )){ /* 要 控制 的 目标 端口 为 


第 10 章 “ 内核 模块 包 过 滤 防 火 墙 的 原型 实现 167 


} 


0, 表 示 对 所 有 目标 端口 进行 控制 * / 
if (controlled srcport == srcport) // 只 比较 源 端 口 
return MATCH; 
else 
return NMATCH; 
} 
if ((controlled_srcport == 0 ) && ( controlled dstport != 0 )){ /x* 要 控制 的 源 端 口 为 0, 
表示 对 所 有 源 端 口 进行 控制 * / 
if (controlled dstport == dstport) // 只 比较 目标 端口 
return MATCH; 
else 
return NMATCH; 
} 
if ((controlled_srcport ! = 0 ) && ( controlled dstport != 0 )){ /x* 要 控制 的 源 端 口 和 目 
标 端口 均 不 为 0, 要 同时 对 源 端口 和 目标 端口 进行 比较 */ 
if ((controlled srcport == srcport) && (controlled dstport == dstport)) 
return MATCH; 
else 
return NMATCH; 
; 
return NMATCH; // 正 常情 况 下 不 会 运行 到 此 


2. IP 地 址 匹配 函数 


int ipaddr_check(unsigned int saddr，unsigned int daddr){ 


// 按 要 控制 的 源 IP 地 址 和 目标 IP 地 址 是 否 为 0, 分 四 种 情况 处 理 
if ((controlled_saddr == 0 ) && ( controlled daddr == 0 )){ /* 要 控制 的 源 IP 地 址 和 目 
标 IP 地 址 均 为 0, 表 示 对 所 有 的 源 IP 地 址 和 目标 IP 地 址 进行 控制 * / 
return MATCH; 
. 
证 ((controlled_saddr != 0 ) && ( controlled_daddr == 0 )){ /* 要 控制 的 目标 IP 地 址 为 
0, 表示 对 所 有 目标 IP 地 址 进行 控制 * / 
if (controlled saddr == saddr) // 只 比较 源 IP 地 址 
return MATCH; 
else 
return NMATCH; 
} 
if ((controlled_saddr == 0 ) && ( controlled daddr != 0 )){ /x 要 控制 源 IP 地 址 为 0, 表 
示 对 所 有 源 TP 地 址 进行 控制 * / 
证 (controlled daddr == daddr) // 只 比较 目标 IP 地址 
return MATCH; 
else 
return NMATCH; 
} 
证 ((controlled_saddr != 0 ) && ( controlled_daddr != 0 )) { /* 要 控制 的 源 IP 地 址 和 目标 
IP 地 址 均 不 为 0, 要 同时 对 源 IP 地 址 和 目标 IP 地 址 进行 比较 * / 
if ((controlled saddr == saddr) && (controlled daddr == daddr)) 
return MATCH; 
else 
return NMATCH; 
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return NMATCH; // 正 常情 况 下 不 会 运行 到 此 
} 


3. ICMP 报 文 过 滤 函 数 


int icmp_check(void){ 

struct icmphdr * picmphdr; 

/* 首 先 获得 ICMP 报 文 的 报头 ,由 于 ICMP 报头 紧 跟 在 IP 头 部 之 后 , 即 从 缓冲 区 头 开始 , 跳 过 IP 
报头 的 长 度 即 为 ICMP 报头 。 在 IP 头 部 字段 中 ihl 域 表示 IP 报头 长 度 ,由 于 该 字段 的 长 度 
单位 为 32bit( 即 四 个 字 节 ), 故 IP 报头 长 为 piphdr -> ihl* 4( 以 字 节 为 单位 ) * / 

picmphdr = (struct icmphdr * )(tmpskb 一 > data + (piphdr 一 > ihl * 4)); 

// 实 际 上 ,只 对 其 中 一 类 报 文 (类 型 为 0 或 8) 进 行 控制 ,就 能 达到 禁止 ping 的 目的 

证 (picmphdr ->type == 8){ // 该 类 型 的 报 文 为 客户 端 向 远程 主机 发 出 的 ping 请 求 报 文 

if (ipaddr check(piphdr -> saddr,piphdr -> daddr) == MATCH){// 比 较 IP 地 址 
printk("An ICMP packet is denied! \n"); 
return NF_DROP; 

于 

上 

证 (picmphdr -> type == 0){ /* 该 类 型 的 报 文 为 远程 主机 向 发 出 ping 请 求 报 文 的 客户 端 所 

回复 的 ping 响应 报 文 ,注意 下 面 的 匹配 调用 ipaddr_check(piphdr -> daddr, piphdr -> saddr)， 

将 该 响应 报 文 的 目标 IP 地 址 与 要 控制 的 源 IP 地 址 进行 匹配 ,将 该 响应 报 文 的 源 IP 地 址 与 要 

控制 的 目标 IP 地 址 进行 匹配 * / 

if (ipaddr check(piphdr 一 > daddr, piphdr -> saddr) == MATCH){ 
printk("An ICMP packet is denied! \n"); 
return NF_DROP; 

} 

. 

// 对 其 他 类 型 的 ICMP 报 文 ,或 者 与 控制 的 IP 地 址 不 匹配 的 ICMP 报 文 , 均 默 认 放 行 

return NF_ACCEPT; 

} 


4. TCP 报 文 过 滤 函 数 


int tcp_check(void){ 
struct tcphdr * ptcphdr; 
/* 跳 过 I 报 文 的 头 部 长 度 ,获得 TCP 报 文 的 头 部 .原理 同 对 ICMP 的 处 理 ( 见 函 数 icmp_check())*/ 
ptcphdr = (struct tcphdr * )(tmpskb->data + (piphdr ->ihlx*4)); // 获 得 TCP 报 文 头 部 
// 进 行 IP 地 址 和 端口 的 匹配 
if ((ipaddr_check(piphdr -> saddr, piphdr 一 > daddr) == MATCH) && 
(port_check(ptcphdr - > source, ptcphdr -> dest) == MATCH)){ 
printk("A TCP packet is denied! \n"); 
return NF_DROP; // 拒 绝 与 控制 的 IP 地 址 、 端 口 相 匹 配 的 TCP 报 文 
else 
return NF_ACCEPT; 。”// 放 行 与 控制 的 IP 地址、 端口 不 匹配 的 TCP 报 文 
} 


5. UDP 报 文 过 滤 函 数 
int udp_check(void){ 
struct udphdr * pudphdr; 


/* 跳 过 下 报 文 的 头 部 长 度 ,获得 UpP 报 文 的 头 部 .原理 同 对 ICMP 的 处 理 ( 见 函数 icmp check())*/ 
pudphdr = (struct udphdr * )(tmpskb 一 >data + (piphdr 一 > ihl * 4)); 
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// 进 行 iP 地址 和 端口 的 匹配 
证 ((ipaddr check(piphdr -> saddr, piphdr -> daddr) == MATCH) && 
(port_check(pudphdr - > source, pudphdr -> dest) == MATCH)){ 

printk("A UDP packet is denied! \n"); 
return NF_DROP; 。 ”// 拒 绝 与 控制 的 I 地 址 .端口 相 匹 配 的 UDP 报 文 

} 

else 
return NF_ACCEPT; 。”// 放 行 与 控制 的 IP 地址、 端口 不 匹配 的 UDP 报 文 

} 


6. 注册 的 钩子 函数 


unsigned int hook_func(unsigned int hooknum, struct sk_buff xx skb,const struct net device * 
in,const struct net_device * out, int ( * okfn)(struct sk_buff * )){/* Netfilter 调用 该 钩子 函 
数 时 ,传递 4 个 参数 给 钩子 函数 ,这 4 个 参数 的 顺序 .类 型 及 含义 是 Netfilter 框架 预先 定义 好 的 , 开 
发 者 不 能 擅自 定义 .其 中 skb 是 指向 Netfilter 正在 处 理 报 文 缓冲 区 的 二 重 指针 ,注意 在 2.6.28 及 以 
上 内 核 版 本 的 Linux 中 ,该 参数 为 * skb, skb 即 为 指向 Netfilter 正在 处 理 报 文 缓冲 区 的 指针 */ 

// 首 先 检查 防火 墙 检查 控制 机 制 是 否 启用 , 如 没有 启用 ,直接 放行 相应 的 IP 报 文 

if (enable flag == 0) 

return NF_ACCEPT; 


tmpskb = * skb; // 获 得 报 文 缓冲 区 的 地 址 指针 
piphdr = tmpskb—>nh. iph; // 获 得 IP 报 文 的 头 部 , 见 10.3.1 节 中 的 数据 结构 
// 首 先 判断 是 否 为 要 控制 的 协议 类 型 
if(piphdr -> protocol != controlled protocol) 
return NF_ACCEPT; // 不 是 要 控制 的 协议 类 型 , 直接 放行 
// 若 为 要 控制 的 协议 类 型 ,根据 协议 类 型 不 同 分 别 调用 相应 的 检查 控制 函数 
if (piphdr -> protocol == 1) // 协 议 号 为 1, 为 ICMP 报 文 
return icmp_check( ); 
else 
if (piphdr -> protocol == 6) // 协 议 号 为 6, 为 TCP 报 文 
return tcp_check( ) ; 
else 
if (piphdr - > protocol == 17) // 协 议 号 为 17, 为 UDP 报 文 


return udp_check( ); 

else{ // 其 他 的 协议 号 ,默认 放行 ,通常 不 会 运行 到 这 个 分 支 
printk( "Unkonwn type's packet! \n"); 
return NF_ACCEPT; 


7. 设备 的 写 操作 函数 


int write_controlinfo( int fd, char x buf，ssize t len){ /* 参 数 约定 同文 件 操作 write 系统 调 
用 ,分 别 为 文件 描述 符 , 拟 写 人 内 容 的 缓冲 区 指针 及 长 度 * / 
char controlinfo[ 128]; // 用 于 保存 所 写 入 内 容 的 内 核 空间 缓冲 区 


char * pchar; // 临 时 缓冲 区 指针 

pchar = controlinfo; 

if (len == 0){ // 如 果 写 入 的 内 容 长 度 为 0, 表示 关闭 该 防火 墙 的 检查 控制 功能 
enable flag = 0; // 设 置 防火 墙 关 闭 标志 
return len; 


和 
/* 调用 函数 copy_from_user() 将 规则 配置 程序 传人 的 用 户 配置 信息 ( 即 要 控制 的 信息 ,如 IP 地 
址 、 端 口 等 ) 复 制 到 内 核 空 间 缓存 区 。 为 何 调用 函数 copy_from_user() 而 不 用 函数 memncpy() 
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} 


直接 进行 缓冲 区 复制 的 具体 原因 在 本 书 的 8.3.1 节 进 行 了 详细 的 说 明 * / 
if (copy_from user(controlinfo, buf, len) != 0){ 

printk("Can't get the control rule! \n"); 

printk("Something may be wrong, please check it! \n"); 

return 0; 

} 
/* 在 配置 信息 缓冲 区 中 , 依次 存放 的 字段 为 : 要 控制 报 文 的 协议 类 型 ,要 控制 报 文 的 源 IP 地 

址 ,要 控制 报 文 的 目标 I 地 址 ,要 控制 报 文 的 源 端口 ,要 控制 报 文 的 目标 端口 。 每 个 字段 占 

4 个 字 节 。 具 体 可 对 照 规则 配置 程序 的 相关 代码 x / 
controlled protocol = *(( int * ) pchar); // 获 得 要 控制 报 文 的 协议 类 型 
pchar = pchar + 4; 
controlled saddr = *(( int * ) pchar); // 获 得 要 控制 报 文 的 源 IP 地 址 
pchar = pchar + 4; 
controlled daddr = *(( int * ) pchar); // 获 得 要 控制 报 文 的 目标 IP 地 址 
pchar = pchar + 4; 
controlled srcport = x*(( int * ) pchar);  // 获 得 要 控制 报 文 的 源 端口 
pchar = pchar + 4; 
controlled_dstport = x*(( int *) pchar);  // 获 得 要 控制 报 文 的 目标 端口 
enable flag = 1; // 设 置 该 防火 墙 的 检查 控制 启用 标志 
printk("input info:p = %d,x= %dy= %dm= %dn= %d\n", controlled protocol, 
controlled_saddr, controlled_daddr, controlled_srcport, controlled_dstport); /* 输出 更 新 
后 的 控制 信息 * / 


return len; 


8. 模块 初始 化 函数 


static int _init initmodule( ){ // 该 函数 在 模块 加 载 时 被 自动 调用 
int ret; // 保 存 注 册 设 备 是 否 成 功 的 变量 
printk("Init Module\n"); 
myhook. hook = hook_func; // 设 置 要 注册 的 钩子 函数 
myhook. hooknum = NF_IP_POST_ROUTING; // 设 置 要 注册 到 的 钩子 点 
myhook. pf = PF_INET; // 设 置 要 控制 的 网 络 协议 为 IP 协议 
myhook. priority = NF_IP_PRI_FIRST; // 要 注册 钧 子 函数 的 优先 级 : 最 高 级 
nf_register hook(&myhook); // 注 册 相 应 的 钧 子 函数 


/* 下 面向 系统 注册 设备 结 点 文件 ,注意 这 里 的 设备 号 和 设备 名 称 要 与 规则 配置 程序 中 mknod 调 
用 的 参数 相 一 致 * / 
ret = register chrdev(124, "/dev/controlinfo", &fops); 


if (ret != 0) // 注 册 设 备 驱动 不 成 功 
printk("Can't register device file! \n"); 
return 0; 
} 
9. 模块 注销 函数 
static void _exit cleanupmodule( ){ // 该 函数 在 内 核 模块 卸载 时 被 自动 调用 


nf_unregister hook(gmyhook); 

/* 注销 在 内 核 模 块 初始 化 函数 中 曾 向 Netfilter 框架 中 注册 过 的 钩子 函数 * / 
unregister chrdev(124, "controlinfo"); // 向 系统 注销 设备 文件 
printk("CleanUp\n" ); 
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10.4 编译 .运行 及 测试 


在 完成 10.2 节 和 10. 3 节 防 火 墙 原型 系统 的 代码 编程 后 ,就 可 以 对 该 原型 系统 进行 测 
试 。 在 运行 测试 前 需要 将 源 代码 编译 成 可 执行 程序 及 可 加 载 内 核 模 块 。 下 述 编译 和 运行 
过 程 是 在 Fedora Core 6 Linux 环境 下 完成 , 若 要 在 其 他 Linux 发 行 版 (如 Ubuntu 10. 0. 4 
等 ) 运 行 和 测试 ,需要 对 10. 3 节 的 源 代 码 进行 适当 改动 ,所 涉及 到 的 主要 改动 在 10. 5.2 
节 具 体 曾 述 。 


10.4.1 编译 方法 和 过 程 


本 童 的 防火 墙 原型 系统 由 规则 配置 程序 和 内 核 模 块 两 部 分 组 成 ,这 两 部 分 的 编译 方法 
不 同 , 需 要 分 别 进行 编译 。 其 中 规则 配置 程序 为 一 般 的 应 用 程序 ,编译 比较 简单 ,只 需 shell 
命令 行 下 输入 如 下 命令 即 可 : 


gcc -oo configure configure.c 


其 中 configure. ec 是 保存 规则 配置 程序 源 代 码 的 文件 名 ,假定 该 文件 在 当前 目录 下 ， 
configure 为 编译 出 的 目标 文件 ,该 目标 文件 可 任意 命名 。gcc 命令 执行 结束 后 ,就 会 在 当前 
目录 下 产生 一 个 名 为 configure 的 可 执行 文件 , 即 为 防火 墙 原型 系统 的 规则 配置 程序 。 

Linux 内 核 模块 的 编译 方法 比较 复杂 ,可 能 会 涉及 到 很 多 的 编译 选项 ,尤其 在 2.6 及 以 
上 版 本 的 Linux 内 核 中 编译 内 核 模块 。 一 般 可 通过 设计 工程 文件 ( 即 Makefile) 的 方式 来 完 
成 内 核 模块 的 编译 ,本 开发 实践 的 Makefile 文件 具体 如 下 : (为 方便 起 见 , 将 规则 配置 程序 
的 编译 也 包含 到 该 工程 文件 中 ,工程 文件 中 每 项 的 具体 含义 在 基于 LSM 的 文件 访问 控制 
开发 实践 中 已 经 讲 明 , 详 见 8. 4. 1 节 , 这 里 不 再 袭 述 。) 


obj -m += mod firewall.o 


KDIR := /lib/modules/ $ (shell uname -rr)/build 
PWD := $ (shell pwd) 
default: 


$ (MAKE) —C $ (KDIR) M= $ (PWD) modules 
gcc —o configure configure.c # 方 便 起 见 , 规 则 配置 程序 的 编译 也 包含 到 该 工程 文件 
在 命令 行 窗口 下 ,转移 到 上 述 源 程序 和 工程 文件 所 在 的 目录 ,执行 make 命令 ,就 可 以 
成 功 编译 出 一 个 文件 名 为 configure 的 规则 配置 程序 可 执行 文件 和 一 个 文件 名 为 mod_ 
firewall. ko 的 内 核 模 块 。 


10.4.2 测试 环境 说 明 


通过 第 4 章 的 防火 墙 实现 原理 分 析 可 知 , 包 过 滤 防 火 墙 需要 运行 在 所 要 控制 网 络 通信 
的 路 由 结 点 上 。 一 般 需要 放置 在 内 部 网 络 连接 外 部 网 络 的 网 关 处 ,用 于 管理 和 控制 内 部 网 
络 与 外 部 网 络 间 的 通信 。 这 种 放置 在 网 关 处 的 防火 墙 运行 和 测试 方法 ,将 在 第 13 章 透 明代 
理 防火 墙 的 测试 中 做 详尽 的 阐述 。 本 章 开发 的 包 过 滤 防 火 墙 原型 系统 也 可 以 采用 与 透明 代 
理 防 火 墙 相同 的 测试 环境 , 即 安装 在 网 关 处 进行 测试 。 
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为 方便 在 单 台 PC 上 完成 包 过 滤 防 火 墙 的 测试 ,本 原型 系统 采用 一 种 “简易 ”的 网 络 测 
试 环境 , 即 防火 墙 和 测试 用 到 的 网 络 客户 端 运行 在 同一 台 PC 上 ,该 PC 只 要 接 入 互联 网 中 
就 可 进行 本 防火 墙 原型 系统 的 测试 和 功能 验证 。 

在 进行 测试 前 ,要 首先 保证 测试 用 PC 已 将 IP 地 址 、 网 关 、DNS 服务 器 等 信息 全 部 配置 
正确 ,使 得 该 PC 能 够 正常 访问 到 网 络 上 的 其 他 主机 。 编 者 所 用 的 测试 机 器 配置 的 IP 地 址 
为 “192. 168. 47. 183”, 下 面 介 绍 在 这 人 台 机 器 上 的 具体 测试 过 程 。 


10.4.3 功能 测试 过 程 


1. 加 载 内 核 模 块 

在 进行 测试 时 ,首先 将 编译 好 的 内 核 模块 插入 到 内 核 中 , 即 在 命令 行 窗口 下 执行 : 

。 insmod mod_firewall. ko ”# 将 模块 mod_firewall. ko 插入 到 Linux 内 核 

。 lsmod # 查 看 系统 中 所 有 加 载 的 内 核 模块 ,如 果 加 载 成 功 ,在 显示 出 的 内 核 模块 列 

表 中 将 会 看 到 名 字 为 mod_firewall 的 模块 

采用 dmesg 命令 查看 内 核 的 信息 输出 ,如 果 模 块 加 载 成 功 且 钩子 函数 注册 成 功 , 在 
dmesg 输出 信息 的 最 后 部 分 将 会 看 到 “Init Module”, 这 是 在 内 核 模块 初始 化 函数 中 通过 函 
数 printk() 输 出 的 信息 ( 见 图 10-5)。 

2. ping 控制 功能 

通过 防火 墙 规则 配置 程序 设置 ICMP 控制 规则 ,如 下 : 


./configure -p ping -y 192.168.47.254 


其 中 192. 168. 47. 254 为 局 域 网 内 某 主机 的 IP 地 址 ,上 面 配置 的 规则 要 求 禁 止 ping 该 
主机 。 在 这 条 规则 配置 前 可 以 ping 通 该 主机 ,执行 这 条 规则 后 无 法 成 功 ping 通 该 主机 。 
采用 dmesg 命令 查看 内 核 的 信息 输出 ,在 其 中 可 发 现 *“An ICMP packet is denied1” 的 信息 
( 见 图 10-5) 。 

3. TCP 报 文 控制 测试 

通过 防火 墙 配置 程序 设置 TCP 控制 规则 ,如 下 : 


./configure -p tcp -y 202.120.58.161 -n 80 


其 中 202. 120. 58. 161 为 上 海 交 通 大 学 BBS 服务 器 (URL 为 bbs. sjtu. edu. cn) 的 IP 地 
址 ,所 配置 的 规则 要 求 丢弃 发 往 该 BBS 服务 器 80 端口 的 TCP 报 文 。 在 配置 该 规则 前 能 够 
正常 访问 该 BBS 服务 器 ,配置 该 规则 后 就 不 能 以 Web 方式 正常 访问 该 BBS 服务 器 。 同 时 
采用 dmesg 命令 查看 内 核 的 信息 输出 ,在 其 中 可 发 现 “A TCP packet is denied!1” 的 信息 ( 见 
图 10-5)。 

4. UDP 报 文 过 滤 


./configure -p udp -y 202.120.2.100 
其 中 202. 120. 2. 100 为 本 机 DNS 服务 器 的 IP 地 址 , DNS 服务 采用 UDP 协议 实现 。 


配置 这 条 规则 后 ,不 能 以 域名 的 形式 访问 外 网 服务 器 ,但 能 够 以 IP 地 址 的 形式 直接 访问 外 
网 服务 器 ,因为 其 不 涉及 到 域名 地 址 解析 。 同 时 采用 dmesg 命令 查看 内 核 的 信息 输出 ,在 
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其 中 可 发 现 *A UDP packet is denied!1” 的 信息 ( 见 图 10-5) 。 

注意 : 在 进行 该 项 测试 时 ,最 好 近期 没有 访问 过 用 作 测 试 目 标的 服务 器 ,否则 该 服务 器 
的 IP 地 址 可 能 已 经 缓存 在 本 机 内 。 

5. 扼 载 内 核 模块 

测试 结束 后 , 印 载 已 加 载 的 内 核 模块 。 

。 . /configure 井 去 除 所 设置 的 所 有 规则 。 

。 rmmod mod_firewall 井 鲫 载 所 插入 的 防火 墙 内 核 模 块 。 

。 dmesg 井 查看 防火 墙 运行 过 程 中 内 核 输 出 的 信息 。 

上 面 的 测试 过 程 具体 如 图 10-4 所 示 。 


rootG@IDServer:~/book_ experiments/mod firewall 


文件 但” 编辑) 查看 WV 经 端 中 标签 @@) 帮助 时 ) 


[ root61DServer mod_firewal1]# make 


make /lib/modules/2.6.18/build M=/root/book experinents/mod firewall modules 
make[1]: Entering directory ‘/usr/src/kernels/linux-2.6.18 
Building modules, stage 2, 
MODPOST 
make[1]: Leaving directory “/usr/src/kernels/linux-2.6.18 
Bcc -0 configure configure.c 
[root6IDServer mod_firewall]# insmod mod_firewall.ko 


[ rootaIDServer mod_firewal1]# 
[ root6IDServer mod_fi rewa 
[ rooteIDServer mod_fi rewa 
[ rootsIDServer mod_firewall] 
[rooteIDServer mod 
[rooteIDServer mod 


onfigure -p ping -y 192.168.47.254 
onfigure -p tcp -~y 202.120.58.161 -mn 80 
figure -p udp ~y 202.120.2.100 


图 10-4 内核 模 块 包 过 滤 防 火 墙 原型 系统 的 测试 过 程 


通过 dmesg 命令 ,在 显示 文本 的 最 后 可 以 看 到 如 图 10-5 所 示 信 息 , 这 是 内 核 模块 在 执 
行 一 些 操作 时 的 信息 输出 。 


Init Module 

input info: p=1,x=0y=-304300 n=0n=0 
an ICNWP packet is deniad! 

An ICIP packet is denied| 

input info: p= bx=07y7=-1590003510m=0n= 20480 
A TCP packet is denied! 

A TCP packet is deriedl 

input info: p= IlT x=0y= 167738359d m=0n=0 
A UDP packet is deriedl 

A UDP packet is deniedl 

A TDP packet is denied|! 

A UDP packet is deriedl 

CleanUp 


图 10-5 测试 过 程 中 由 printk 输出 的 内 核 信息 


10.5 扩展 开发 实践 


本 章 基于 Netfilter 机 制 实现 了 一 个 内 核 模 块 包 过 滤 防 火 墙 原型 系统 ,该 原型 系统 在 
Netfilter 框架 中 注册 钧 子 函 数 ,通过 钩子 函数 实现 对 IP 报 文 的 检查 和 控制 。 对 比 一 个 成 熟 
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的 包 过 滤 防 火 墙 ,该 原型 系统 在 控制 功能 等 方面 还 存在 明显 的 不 足 , 可 基于 该 原型 系统 进行 
以 下 方面 的 扩展 开发 实践 。 


10.5.1 内 核 模块 包 过 滤 防 火 墙 的 控制 功能 扩展 


本 章 实现 的 防火 墙 原 型 系统 中 报 文 过 滤 功 能 比较 有 限 ,主要 体现 在 以 下 方面 : 

。 控制 规则 简单 ,只 是 依据 通信 双方 的 IP 地 址 和 端口 进行 检查 和 控制 ,实际 上 包 过 滤 

防火 墙 还 可 以 依据 其 他 要 素 进 行 控 制 ,如 基于 时 间 段 进行 控制 ,在 休息 日 不 准 从 外 

部 网 络 访问 内 部 网 络 等 ,又 如 区 分 外 部 网 络 和 内 部 网 络 ,不 允许 外 部 网 络 向 内 部 网 

络 发 起 连接 请 求 等 。 

以 几 个 简单 变量 存储 所 配置 的 控制 信息 ,相当 于 只 能 支持 一 条 包 过 滤 规 则 。 这 对 实 

用 的 包 过 滤 防 火 墙 而 言 是 不 合适 的 ,通常 包 过 滤 防 火 墙 需 要 同时 支持 多 条 包 过 滤 

规则 。 

鉴于 此 ,在 本 防火 墙 原型 基础 上 ,可 进行 以 下 方面 的 访问 控制 功能 扩展 : 

。 检查 和 控制 要 素 的 扩展 。 除 实现 基于 IP 地 址 、 端 口 的 检查 和 控制 外 ,还 能 实现 基于 
时 间 段 ICMP 报 文 的 子 类 型 .网 络 访问 方向 (如 禁止 外 网 连 内 网 而 允许 内 网 连接 外 
网 ) 等 要 素 进行 报 文 的 检查 和 过 滤 。 

。 多 包 过 滤 规 则 的 扩展 。 以 表 的 形式 存储 包 过 滤 规 则 ,能 够 支持 用 户 配 置 多 条 包 过 滤 
规则 ,使 内 核 模块 能 够 同时 按 多 条 包 过 滤 规则 进行 报 文 检查 和 过 滤 控制 。 

。 友好 的 包 过 滤 规 则 配置 和 管理 界面 。 支 持 包 过 滤 规 则 的 导 和 人 和、 导出 ` 添 加 、 编 辑 、 删 
除 等 基本 功能 。 


10. 5.2 内核 模块 包 过 滤 防 火 墙 原型 系统 的 移植 


本 章 进 行 的 原型 系统 开发 是 在 FC6 系统 (内 核 版 本 为 2. 6. 18) 上 进行 的 ,如 果 将 该 原型 
系统 直接 放 到 目前 主流 Linux 系统 Ubuntu( 内 核 版 本 为 2. 6. 28 或 2. 6. 34) 上 则 不 能 正常 
运行 ,需要 先进 行 相应 的 移植 性 工作 。 

因应 用 程序 只 涉及 到 操作 系统 的 系统 调用 接口 ,相对 而 言 比较 容易 在 各 个 Linux 内 核 
版 本 上 实现 移植 ,甚至 绝 大 多 数 应 用 程序 不 存在 移植 性 问题 。 本 原型 系统 的 规则 配置 程序 
作为 一 个 应 用 程序 不 存在 移植 性 问题 ,可 直接 在 其 他 Linux 版 本 上 编译 运行 。 

本 原型 系统 中 的 Linux 内 核 模块 同 应 用 程序 的 开发 有 所 区 别 , 该 内 核 模块 在 实现 过 程 
中 使 用 了 Linux 内 核资 源 ,如 Netfilter 框架 的 接口 ,内 核 的 各 种 数据 结构 定义 (如 IP 包头、 
TCP 包头 等 )。 而 Linux 内 核 一 直 处 在 发 展 过 程 中 ,其 所 支持 的 Netfilter 机 制 的 实现 也 在 
不 停 变 化 之 中 ,内 核 版 本 2. 6. 18 和 2. 6. 28 间 很 多 部 分 存在 明显 差别 。 

在 将 本 章 开发 的 防火 墙 原型 系统 移植 到 Ubuntu 下 运行 时 ,有 如 下 两 点 需要 加 以 注意 : 

。 结构 体 struct sk_buff 在 2. 6. 24 以 后 版 本 的 内 核 中 有 所 扩展 变化 ,一 些 域 的 类 型 和 

名 称 都 发 生 了 改变 。 在 通过 该 结构 体 解 析 报 文 首部 时 需要 作 相 应 的 调整 。 如 在 
2. 6.28 版 本 的 内 核 中 ,nh 域 已 经 不 存在 ,被 替换 成 network_header, 且 数据 类 型 也 
发 生 了 改变 ,由 联合 体 变 为 一 个 指针 类 型 。 

。 在 2.6.28 内 核 中 ,Netfilter 框架 在 调用 所 注册 的 钧 子 函 数 时 ,传递 给 钧 子 函数 的 参 

数 类 型 与 2. 6. 18 版 本 内 核 有 明显 的 不 同 。 函 数 原 型 对 比如 下 (其 中 hook_func 为 
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假设 的 钧 子 函 数 名 ) : 
9 2.6.18 版 本 内 核 中 : int hook_func(unsigned int hooknum, struct sk_buff x 
skb,const struct net_device * in,const struct net_device * out,int (* okfn) 
(struct sk_buff *)); 
9 2. 6. 28 版 本 内 核 中 : int hook_func(unsigned int hooknum, struct sk_buff * 
skb,const struct net_device * in,const struct net_device * out,int (* okfn) 
(struct sk_buff * )); 
如 果 防 火 墙 原型 系统 移植 中 不 对 源 代码 进行 特别 处 理 , 不 仅 内 核 模块 不 能 正常 运行 , 甚 
至 会 导致 系统 死机 。 
进行 上 述 两 个 方面 的 修改 后 ,本 章 开发 的 原型 系统 就 可 以 在 内 核 版 本 2. 6. 28 及 以 上 的 
Linux 系统 上 成 功 编译 和 运行 。 


10.5.3 基于 Netfilter 的 网 络 加 密 通信 系统 


IP 报 文 在 处 理 流程 中 经 过 Netfilter 框架 某 钧 子 点 时 ,Netfilter 框架 不 仅 会 调用 所 注册 
的 钩子 函数 ,通过 钩子 函数 的 返回 结果 来 决定 拒绝 还 是 放行 该 IP 报 文 , 就 像 本 章 实现 的 包 
过 滤 防 火 墙 一 样 。 另 外 ,Netfilter 框架 还 会 将 该 IP 报 文 的 具体 内 容 以 参数 的 形式 交 给 钩子 
函数 处 理 ,在 钩子 函数 中 ,可 以 按照 一 定 的 目的 进行 报 文 内 容 变 换 ( 或 修改 ) ,然后 将 经 过 内 
容 变换 的 IP 报 文 再 返回 给 Netfilter 框架 ,Netfilter 框架 会 像 处 理 原始 的 IP 报 文 一 样 继续 
处 理 被 钩子 函数 变换 过 内 容 的 IP 报 文 。 

基于 这 种 IP 报 文 内 容 变 换 技 术 可 以 开发 出 应 用 层 透 明 的 报 文 加 密 传 输 系统 。 即 在 钩 
子 函 数 中 ,对 IP 报 文 的 内 容 进行 加 密 处 理 ,这 样 由 本 机 或 本 网 关 发 出 的 IP 报 文 ,其 内 容 都 
是 密 文 。 在 接收 端的 网 关 或 端 系统 ,需要 对 应 的 解密 处 理 , 即 在 Netfilter 框架 中 注册 相应 
的 钧 子 函 数 , 在 钩子 函数 中 解密 出 IP 报 文 内 容 。 这 样 就 能 实现 应 用 层 透明 的 网 络 加 密 数据 
通信 ,无 论 是 客户 端 还 是 服务 器 都 感受 不 到 该 加 解密 过 程 的 存在 ,而 在 中 间 的 网 络 链 路 上 传 
输 的 数据 是 经 过 加 密 处 理 的 ,通信 安全 性 得 到 很 大 的 提高 。 

另外 ,基于 这 种 IP 报 文 内 容 变 换 技 术 可 以 用 于 携带 报 文 相关 的 属性 信息 ,以 实现 数据 
认证 等 网 络 附加 功能 。 如 在 军事 、 国 防 领域 得 到 应 用 的 多 级 网 络 安全 系统 中 ,需要 标记 所 传 
输 数据 的 安全 级 别 , 以 便 接收 方 对 接收 到 的 数据 进行 安全 级 别 相关 的 处 理 ( 如 认证 及 安全 级 
别 跟踪 等 ) 。 若 在 Linux 系统 上 实现 类 似 的 安全 功能 ,就 可 以 采用 注册 Netfilter 钩子 函数 
的 方式 实现 。 


10. 5.4 内 核 模块 包 过 滤 防 火 墙 的 攻击 检测 功能 扩展 


一 些 产品 化 的 网 络 防火 墙 除了 能 够 按照 包 过 滤 规 则 进行 IP 报 文 的 控制 外 ,还 具有 一 定 
的 攻击 检测 能 力 ,如 检测 端口 扫描 攻击 、 半 连接 攻击 等 。 本 书 第 17 章 的 开发 实践 将 详细 阐 
述 基于 所 获取 IP 报 文 如 何 实现 针对 端口 扫描 的 攻击 检测 ,本 章 原型 系统 的 开发 中 实现 了 对 
各 种 IP 报 文 (包括 SYN 报 文 ) 的 获取 ,因此 可 将 第 17 章 中 的 端口 扫描 攻击 检测 功能 集成 到 
本 章 的 内 核 模 块 包 过 滤 防 火 墙 中 实现 。 由 于 涉及 到 攻击 检测 的 相关 技术 ,需要 在 学 习 第 17 
章 的 相关 内 容 后 再 进行 本 扩展 开发 实践 。 
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10.6 本 章 小 结 


本 章 详细 阐述 基于 Netfilter 框架 的 钩子 函数 注册 机 制 实现 包 过 滤 防 火 墙 原 型 系统 的 
具体 开发 过 程 。 该 原型 系统 支持 一 条 报 文 过 滤 规 则 ,基于 协议 类 型 (UDP.TCP ICMP) 、 报 
文 源 IP 地 址 和 目标 IP 地 址 、 报 文 源 端口 和 目标 端口 等 对 IP 报 文 进行 检查 和 过 滤 。 另 外 ， 
本 章 还 为 该 防火 墙 原 型 系统 实现 一 个 简单 的 规则 配置 程序 ,该 程序 通过 字符 设备 文件 的 方 
式 , 将 用 户 配置 的 规则 信息 传递 给 防火 墙 原型 系统 的 内 核 模块 ,也 能 够 通过 该 配置 程序 关闭 
该 防火 墙 原 型 系统 的 报 文 过 滤 功 能 。 

本 章 完成 的 原型 系统 开发 所 涉及 到 的 关键 技术 包括 : 内 核 模 块 的 编程 开发 方法 ,这 是 
开发 内 核 模块 包 过 滤 防 火 墙 的 基础 ; 在 内 核 模块 中 实现 Netfilter 钩子 函数 的 注册 ,完成 钩 
子 函 数 注册 后 才能 截获 到 相应 的 IP 数据 报 文 ; 添加 一 个 新 的 字符 设备 ,通过 该 字符 设备 ， 
可 以 将 应 用 层 配置 的 包 过 滤 规 则 信息 发 送 到 内 核 模 块 中 ,用 于 对 所 截获 IP 报 文 进行 控制 。 

本 章 最 后 详细 讨论 在 该 防火 墙 原型 系统 基础 上 能 够 进行 的 扩展 开发 实践 ,包括 : 内 核 
模块 包 过 滤 防 火 墙 的 控制 功能 扩展 ,以 同时 支持 多 条 包 过 滤 规 则 ; 内 核 模块 包 过 滤 防 火 墙 
的 Linux 平 台 移植 ,使 本 章 开发 的 防火 墙 原型 系统 能 够 运行 在 Ubuntu( 内 核 版 本 2. 6. 28 以 
上 ) 等 系统 上 ; 基于 Netfilter 的 报 文 内 容 变 换 技术 ,实现 一 个 对 应 用 层 透明 的 网 络 加 密 传输 
系统 ; 集成 相应 的 攻击 检测 能 力 至 本 章 开 发 的 防火 墙 原型 系统 中 。 有 兴趣 的 读者 可 在 此 原 
型 系统 基础 上 ,进行 相应 的 扩展 开发 实践 。 


习 题 


. 简 述 内 核 模 块 包 过 滤 防 火 墙 中 内 核 模 块 的 主要 功能 。 
. 在 内 核 模块 包 过 滤 防 火 墙 的 开发 中 ,内 核 模块 初始 化 时 主要 完成 哪些 工作 ? 
. 结合 本 章 的 开发 实例 ,简单 阐述 函数 getopt() 的 主要 功能 以 及 使 用 方法 。 
. 简单 曾 述 函数 system() 的 功能 和 实现 原理 。 

5. 在 进行 本 章 的 防火 墙 测试 时 ,如 果 在 内 核 模块 加 载 之 前 运行 规则 配置 程序 ,是 否 能 
够 成 功 进行 规则 配置 ? 为 什么 ? 

6. 在 向 Netfilter 框架 注册 钧 子 函 数 时 ,struct nf_hook_ops 是 一 个 关键 的 结构 体 ,描述 
了 注册 相关 信息 ,请 说 明 该 结构 体 包含 的 数据 域 及 具体 含义 。 

7. 在 对 ping 应 用 进行 匹配 检查 和 控制 时 ,为 何 将 用 户 配置 的 源 IP 地 址 与 报 文 的 目标 
IP 地 址 进行 比较 ? 

8. 在 设计 和 实现 注册 到 Netfilter 框架 中 的 钩子 函 数 时 ,是 否 可 以 任意 确定 该 函数 的 形 
式 参 数 ,包括 参数 的 数量 及 类 型 等 ? 

9. 在 进行 内 核 模块 包 过 滤 防 火 墙 测试 时 ,可 从 哪些 方面 来 判断 其 内 核 模 块 是 否 已 成 功 
加 载 到 Linux 操作 系统 中 ? 

10. 本 章 实现 的 防火 墙 原型 系统 在 报 文 过 滤 和 控制 方面 ,主要 有 哪些 需要 改进 的 地 方 ? 


请 性 
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11. 简单 说 明 为 何 实现 内 核 模块 包 过 滤 防 火 墙 在 不 同 Linux 系统 间 移 植 , 比 一 般 的 应 
用 程序 移植 要 难以 实现 。 

12. 简单 解释 基于 Netfilter 框架 实现 应 用 层 透明 的 加 密 网 络 通信 的 基本 思路 。 

13. 结合 本 章 原型 系统 的 具体 实现 ,阐述 如 何 改进 该 原型 系统 ,使 其 能 够 完成 对 TCP 
连接 方向 的 控制 ,如 内 网 主机 可 以 连接 到 外 网 服务 器 ,而 外 网 主机 不 能 连接 到 内 网 中 的 服 
务 器 。 


第 11 音 基于 队列 机 制 的 应 用 层 
包 过 滤 防 火 墙 原型 实现 


本 章 主要 闸 述 如 何 基于 Netfilter 框架 的 队列 功能 实现 一 个 应 用 层 的 包 过 滤 防 火 墙 原 
型 系统 。 不 同 于 第 10 章 实现 的 内 核 模块 包 过 滤 防 火 墙 ,本 章 的 防火 墙 原型 系统 以 一 个 独立 
应 用 程序 的 形式 存在 ,不 涉及 到 Linux 内 核 方面 的 开发 和 编程 。 下 面 首先 介绍 该 防火 墙 原 
型 系统 的 总 体 技术 方案 ,然后 介绍 源 代 码 实 现 过 程 ,最 后 介绍 该 防火 墙 原型 系统 的 测试 过 
程 ,及 在 该 防火 墙 原型 系统 基础 上 所 能 进行 的 扩展 开发 实践 。 


11.1 原型 系统 的 总 体 设计 


对 比 第 10 章 开发 的 内 核 模块 包 过 滤 防 火 墙 , 本 章 的 应 用 层 包 过 滤 防 火 墙 在 报 文 解析 和 
控制 方式 上 并 没有 大 的 区 别 ,都 是 对 IP 报 文 进行 检查 和 控制 。 二 者 主要 不 同 在 于 获取 IP 
报 文 的 方式 ,内 核 模块 包 过 滤 防 火 墙 通过 在 Netfilter 框架 中 注册 钧 子 函数 的 方式 获得 拟 控 
制 的 IP 报 文 ,而 应 用 层 包 过 滤 防 火 墙 在 应 用 层 获 得 要 控制 的 IP 报 文 。 本 节 首 先 曾 述 如 何 
在 应 用 层 获 得 要 控制 的 IP 报 文 。 


11.1.1 应 用 层 IP 报 文 获取 方案 


早期 的 Netfilter 机 制 ( 内 核 版 本 为 2. 2 及 以 前 的 Linux 系统 中 ) 并 不 支持 队列 机 制 , 即 
只 能 在 内 核 层 进行 报 文 处 理 , 不 能 通过 队列 方式 将 报 文 交 给 应 用 层 处 理 。 在 版 本 为 2.4 的 
Linux 内 核 中 ,其 Netfilter 机 制 开 始 支持 队列 机 制 ( 即 IP queue) ,用 于 将 数据 包 从 内 核 空间 
传递 到 应 用 层 空 间 ,其 不 足 之 处 在 于 只 能 由 单个 应 用 程序 接收 内 核发 来 的 数据 包 , 当 时 队列 
机 制 采用 一 种 独 有 方式 实现 内 核 空 间 到 应 用 层 空间 的 数据 传递 , 仅 限 于 传递 由 Netfilter 框 
架 截 获 的 IP 数据 包 。 

在 Linux 2.6 内 核 中 ,出 现 了 Netlink 机 制 (Linux 操作 系统 中 一 种 在 内 核 空间 和 应 用 
层 空 间 传递 数据 的 机 制 ,其 接口 形式 类 似 于 网 络 套 接 字 接口 , 详 见 本 书 1. 6 节 ) ,而 且 该 机 制 
逐渐 成 为 Linux 程序 员 广 泛 接受 的 一 种 标准 化 的 内 核 空间 与 应 用 层 空 间 数据 传递 机 制 。 鉴 
于 Netlink 机 制 的 通用 性 以 及 使 用 方便 性 ,Netfilter 框架 开始 采用 以 Netlink 方式 实现 的 队 
列 机 制 , 即 以 Netlink 形式 将 从 内 核 层 截获 的 IP 报 文 发 往 应 用 层 ,应 用 程序 只 要 按 标准 的 
Netlink 方式 就 可 以 读 取 到 从 内 核 层 发 来 的 IP 报 文 。 有 些 系 统 程序 员 将 实现 在 Netlink 上 
的 队列 机 制 称 为 netlink_queue, 以 区 别 于 传统 的 IP queue 机 制 。 基 于 Netlink 的 队列 机 制 
既 可 以 兼容 原来 的 IP queue 机 制 , 也 可 以 支持 多 个 应 用 程序 接口 , 即 多 个 应 用 程序 可 以 同 
时 读 取 Netlink 从 IP 层 发 送 来 的 IP 报 文 。 

为 了 便于 应 用 层 包 过 滤 防 火 墙 以 及 其 他 相关 应 用 的 开发 ,Netfilter 官方 组 织 提供 了 相 
应 的 开发 函数 库 Libnetfilter_queue, 该 函数 库 封 装 了 用 于 应 用 层 包 过 滤 防 火 墙 的 Netlink 
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接口 。 程 序 员 可 以 直接 利用 该 库 提供 的 接口 函数 较为 方便 地 获取 Netfilter 框架 发 送 来 的 
IP 报 文 ,而 不 再 直接 调用 原始 的 Netlink 接口 获取 IP 报 文 。 

本 防火 墙 原 型 系统 采用 基于 函数 库 Libnetfilter_queue 的 方式 来 完成 相应 的 开发 实践 ， 
该 库 及 其 实现 源 代码 可 以 到 Netfilter 网 站 下 载 。 


11.1.2 功能 和 结构 设计 


本 章 目的 在 于 以 实例 的 方式 展现 如 何在 Linux 系统 的 Netfilter 框架 下 实现 应 用 层 包 
过 滤 防 火 墙 的 方法 ,而 不 是 实现 复杂 的 过 滤 策 略 。 鉴 于 此 ,此 原型 系统 中 实现 的 过 滤 策 略 比 
较 简单 ,主要 依据 不 同 的 协议 类 型 ,实现 基于 IP 地 址 和 端口 的 IP 报 文 过 滤 。 

为 简单 起 见 及 突出 应 用 层 包 过 滤 防 火 墙 的 基本 原理 ,本 章 开发 的 应 用 层 包 过 滤 防 火 墙 
不 实现 单独 的 包 过 滤 规 则 配置 程序 , 包 过 滤 规 则 配置 和 基于 包 过 滤 规 则 进行 IP 报 文 过 滤 的 
功能 实现 在 一 个 应 用 程序 中 , 即 该 程序 通过 命令 行 参数 接收 用 户 配置 的 一 条 包 过 滤 规 则 , 然 
后 直接 基于 该 规则 实施 报 文 过 滤 ,如 要 更 改 包 过 滤 规 则 ,需要 首先 停止 该 程序 ,然后 重新 以 
新 的 命令 行 参数 启动 该 程序 。 


11.1.3 运行 方式 


本 章 的 原型 系统 通过 命令 行 参数 来 确定 待 阻止 报 文 的 协议 类 型 、 源 IP 地 址 和 目标 IP 
地 址 以 及 源 端口 和 目标 端口 , 形 如 : 


./queue_fw -p protocol -x source_ip -Y dst_ip -m source port -n dst_port 


其 中 queue_fw 为 原型 系统 对 应 的 可 执行 文件 名 ,其 后 各 选项 的 具体 含义 如 下 : 

。 -p protocol: 指明 要 控制 的 协议 (或 网 络 应 用 ) 类 型 ,为 tcp、udp、ping 三 种 之 一 ; 

。 -x source_ip: 指明 要 控制 报 文 的 源 IP 地 址 ; 

。 -y dst_ip: 指明 要 控制 报 文 的 目标 IP 地 址 ; 

。 -m source_port: 指明 要 控制 报 文 的 源 端口 ; 

。-n dst_port: 指明 要 控制 报 文 的 目标 端口 。 

如 “. /queue_fw -p tcp -x 192. 168. 47. 183 -y 202. 120. 2. 120 -m 8888 -n 80” 表 示 禁 止 
源 IP 地 址 为 192. 168. 47. 183、 目 标 IP 地 址 为 202. 120. 2. 120, 且 源 端 口 为 8888、 目 标 端 口 
为 80 的 TCP 通信。 

若 某 个 选项 省 略 ( 即 不 对 该 选项 进行 配置 ) , 则 取 其 默认 值 0,0 表示 与 任意 值 相 匹 配 , 即 
表示 要 控制 的 报 文 覆 盖 该 选项 的 所 有 值 域 。 如 : 


./queue_fw -p ping # 表 示 禁 止 所 有 源 和 目标 地 址 间 的 ping 操作 
./queue_ fw -p ping -x 192.168.47.1 井 阻止 192.168.47.1 对 外 ping 

./queue fw -p tcp -y 192.168.47.1 -n 80 # 发 往 192.168.47.1 的 80 端口 的 TCP 包 被 丢弃 
./queue_fw -p udp -y 202.120.2.101 # 发 往 202.120.2.101 的 UDP 包 被 丢弃 


特别 注意 的 是 , 若 所 有 选项 全 部 省 略 ,表示 关闭 该 包 过 滤 防 火 墙 的 IP 报 文 过 滤 功 能 ,而 
不 是 对 任意 的 报 文 进 行 控制 。 具 体 的 执行 格式 如 下 : 


./queue fw ， 井 表 示 取 消 原来 的 控制 配置 ,不 再 进行 任何 IP 报 文 过 滤 
这 时 候 相 当 于 关闭 防火 墙 的 报 文 过 滤 功 能 ,该 防火 墙 工 作 在 转发 IP 报 文 的 模式 ,不 进 
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行 任何 报 文 检查 和 控制 过 滤 。 
如 果 要 关闭 该 防火 墙 ,直接 在 终端 按 Ctrl 十 C 键 终止 该 防火 墙 的 运行 即 可 。 


11.2 原型 系统 的 实现 


11.2.1 外 部 库 函 数 


对 比 内 核 模块 包 过 滤 防 火 墙 的 编程 实现 ,应 用 层 包 过 滤 防 火 墙 的 主要 不 同 在 于 需要 在 
应 用 层 借助 Netfilter 提供 的 函数 库 Libnetfilter_queue, 来 获得 Netfilter 框架 从 内 核 层 发 来 
的 IP 数据 包 , 而 不 是 通过 在 Netfilter 框架 中 注册 钩子 函数 的 方式 来 获得 IP 数据 包 。 因 而 
对 该 防火 墙 进行 编程 实现 的 关键 在 于 熟悉 如 何 使 用 函数 库 Libnetfilter_queue, 以 获得 和 处 
理 相 应 的 IP 数据 包 。 因 此 讨论 该 防火 墙 的 编程 实现 前 ,首先 简要 介绍 所 用 到 的 主要 
Libnetfilter_queue 库 函 数 。 


struct nfq_handle x* nfq_open(void); 该 函数 用 于 打开 Libnetfilter_queue 函数 
库 , 并 实例 化 一 个 Netfilter 队列 的 名 柄 。 如 果 初 始 化 成 功 , 该 函数 返回 一 个 指向 实 
例 化 Netfilter 队列 的 句柄 。 要 使 用 Netfilter 队列 机 制 接收 Netfilter 框架 发 送 来 的 
IP 数据 包 , 首 先 要 调用 该 函数 。 

struct nfq_q_handle * nfq_create_queue(struct nfq_handle * h, u_intl6_t num, 
nfq_callback * cb，void * data) ; Netlink 支持 广播 机 制 , 应 用 层 可 以 多 路 接收 
Netfilter 框架 发 送 来 的 IP 数据 包 。 该 函数 创建 由 参数 num 表示 的 一 个 具体 队列 ， 
参数 h 为 调用 函数 nfq_open() 的 返回 值 ,参数 cb 为 所 设置 的 回调 函数 指针 ,对 队列 
中 的 每 一 个 IP 数据 包 , 将 来 都 会 调用 参数 cb 指向 的 处 理 函数 ,参数 data 为 需要 传 
递 给 回调 函数 的 数据 缓冲 区 指针 。 

int nfq_handle_packet(struct nfq_handle *h, char * buf, int len) ; ”该 函数 完成 
对 参数 buf 指向 的 IP 数据 包 的 处 理 , 该 函数 的 内 部 实现 会 调用 函数 nfq_create 
queue() 中 设置 的 回调 函数 来 处 理 数据 包 。 

int nfq_set_verdict(struct nfq_q_handle * gh, u_int32_t id, u_int32_t verdict, u_ 
int32_t data_len, unsigned char * buf) ; 该 函数 一 般 在 回调 函数 中 调用 ,用 于 设 
置 Netfilter 框架 对 该 报 文 的 处 理 方式 ,其 中 参数 verdict 指明 了 具体 的 处 理 方式 ,如 
NF_ACCEPT 或 NF_DROP。 


11.2.2 头 文件 和 全 局 变量 


到 


头 文件 、 预 定义 


在 该 防火 墙 的 原型 系统 实现 中 ,涉及 如 下 的 头 文件 和 预定 义 : 


# include < sys/types.h> 
# include < stdio.h> 
#include < stdlib.h> 
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# include <unistd.h> 

# include < netinet/in.h> 

# include < linux/netfilter.h> 

# include < libnetfilter_queue/]libnetfilter_queue.h> 

#include < string.h> 

# include < time.h> 

# include< sys/time.h> 

# include < linux/ip. h> 

# include < linux/tcp. h> 

# include < linux/udp. h> 

#include < linux/icmp.h> 

# define MATCH 1 // 表 示 端 口 .IP 地 址 匹配 的 结果 , 即 与 要 控制 的 IP 地 址 、 端 口 一 致 
# define NMATCH 0 // 表 示 端 口 . 匡 地 址 匹配 的 结果 , 即 与 要 控制 的 IP 地 址 、 端 口 不 一 至 


2. 本 原型 系统 的 源 代码 实现 中 定义 的 三 类 全 局 变量 
。 过 滤 信 息 类 变量 。 
共 6 个 全 局 变量 ,用 来 表示 用 户 通过 命令 行 选 项 配置 的 过 滤 规则 信息 。 


int enable_flag = 1;  // 表 示 是 否 启 用 防火 墙 的 包 过 滤 功 能 ,1( 启 用 ),0( 禁 用 ) 

unsigned int controlled_protocol = 0; /* 表示 要 控制 报 文 的 协议 类 型 : 1 一 ICMP, 6 一 TCP,17 一 UDPP*/ 

unsigned short controlled_srcport = 0; /* 表示 要 控制 报 文 的 源 端 口 ,0 表示 要 控制 所 有 源 端口 
的 报 文 ,该 变量 只 对 TCP 报 文 和 UDP 报 文 有 效 * / 

unsigned short controlled dstport = 0; /* 表示 要 控制 报 文 的 目标 端口 ,该 变量 只 对 TCP 报 文 和 
UDP 报 文 有 效 * / 

unsigned int controlled_saddr = 0; // 表 明 要 控制 报 文 的 源 IP 地 址 

unsigned int controlled_daddr = 0; // 表 明 要 控制 报 文 的 目标 IP 地 址 


”保存 IP 报 文 信息 的 全 局 变量 。 


struct iphdr * piphdr; // 本 次 处 理 IP 报 文 的 IP 头 部 指针 
。 应 用 Libnetfilter_queue 函数 库 使 用 到 的 句柄 变量 。 
int fd; // 文 件 描述 符 变量 


struct nfq_handle *h; 
struct nfq _q handle * qh; 
struct nfnl]_handle * nh; 


11.2.3 函数 组 成 及 功能 设计 


该 防火 墙 原型 系统 的 代码 实现 主要 包含 如 下 的 九 个 函数 。 
。 主 函数 。 函 数 原型 为 : 


int main( int argc, char *argv[]); 


该 函数 的 主要 功能 是 首先 调用 参数 解析 函数 getpara(), 从 命令 行 选项 中 解析 出 要 
控制 报 文 的 协议 类 型 .地 址 、 端 口 等 信息 ,如 果 命 令 行 选项 错误 ,调用 函数 display_ 
usage() 向 用 户 提 示 正 确 的 命令 行 格式 ; 然后 进行 Libnetfilter_queue 函数 库 相 关 的 
初始 化 工作 ,并 设置 报 文 处 理 函 数 callback(); 最 后 该 函数 进行 相应 的 IP 报 文 读 取 
和 转发 。 
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参数 解析 函数 。 函 数 原型 为 : 
int getparal( int argc, char * argv[]); 


该 函数 主要 从 用 户 的 命令 行 选项 中 提取 相应 的 控制 信息 , 即 要 控制 报 文 的 协议 类 
型 \ 源 IP 地 址 和 目标 IP 地 址 、 源 端口 和 目标 端口 等 ,然后 将 这 些 信息 保存 在 全 局 变 
量 中 。 

参数 格式 提示 函数 。 函 数 原型 为 : 


void display_ usage(char * commandname); 


该 函数 主要 向 用 户 显示 该 防火 墙 程序 正确 的 命令 行 选项 和 格式 。 
端口 匹配 函数 。 函 数 原型 为 : 


int port_check(unsigned short srcport, unsigned short dstport); 


该 函数 主要 是 检查 所 接收 报 文 的 源 端 口 ( 由 参数 srcport 指定 )、 目 标 端 口 (由 参数 
dstport 指定 ) 与 规则 中 需要 控制 的 源 端 口 ( 由 全 局 变量 controlled_srcport 指定 )、 目 
标 端 口 ( 由 全 局 变量 controlled_dstport 指定 ) 是 否 相 同 , 如 果 相 同 返 回 MATCH , 否 
则 返回 NMATCH。 如 果 规 则 中 没有 指定 端口 号 , 则 返回 MATCH ,意味 着 对 任意 
端口 的 报 文 都 要 进行 控制 。 

IP 地 址 匹配 函数 。 函 数 原型 为 : 

int ipaddr_check(unsigned int saddr, unsigned int daddr); 


该 函数 主要 功能 是 检查 所 接收 报 文 的 源 IP 地 址 (由 参数 saddr 指定 ) ,目标 IP 地 址 
(由 参数 daddr 指定 ) 与 过 滤 规 则 中 需要 控制 的 源 IP 地 址 (由 全 局 变量 controlled_ 
saddr 指定 )、 目 标 IP 地 址 (由 全 局 变量 controlled_ daddr 指定 ) 是 否 相 同 ,如 果 相 同 
返回 MATCH ,否则 返回 NMATCH。 如 果 规 则 中 没有 指定 IP 地 址 , 则 返回 
MATCH ,意味 着 对 任意 IP 地 址 的 报 文 都 要 进行 控制 。 

ICMP 报 文 过 滤 函 数 。 函 数 原型 为 : 


int icmp_check(void) 


该 函数 主要 功能 是 检查 ICMP 数据 包 , 在 本 原型 系统 中 具体 为 控制 ping 应 用 。 该 
函数 首先 剥 掉 报 文 的 IP 头 , 使 指针 指向 ICMP 头 。 这 里 只 对 ICMP 类 型 为 0 和 8 
的 数据 包 加 以 限制 ,分 别 为 ping 回 显 应 答 和 请 求 , 其 他 类 型 的 ICMP 报 文 可 以 通过 
本 原型 系统 。 对 类 型 为 0 或 8 的 报 文 ,该 函数 先 调用 函数 ipaddr_check() 进 行 地 址 
匹配 ,然后 根据 匹配 结果 返回 NF_ACCEPT 或 NF_DROP。 

TCP 报 文 过 滤 函 数 。 函 数 原型 为 : 

int tcp_check(void); 

该 函数 主要 功能 是 检查 TCP 数据 包 。 该 函数 首先 剥 掉 报 文 的 IP 头 , 使 指针 指向 
TCP 头 ,然后 调用 函数 ipaddr_check() 进 行 地 址 匹配 ,以 及 调用 函数 port_check() 
进行 端口 匹配 ,如果 这 两 个 函数 的 返回 值 均 为 MATCH ,该 函数 返回 NF_DROP, 即 
禁止 该 报 文通 过 ,否则 返回 NF_ACCEPT ,放行 该 报 文 。 
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”UDP 报 文 过 滤 函 数 。 杖 数 原型 为 : 
int udp_check(void) ; 


该 函数 主要 功能 是 检查 UDP 数据 包 。 该 函数 首先 剥 掉 报 文 的 IP 头 ,使 指针 指向 
UDP 头 。 然 后 调用 函数 ipaddr_check() 进 行 地 址 匹配 ,以 及 调用 函数 port_check() 
进行 端口 匹配 ,如 果 这 两 个 函数 的 返回 值 均 为 MATCH ,该 函数 返回 NF_DROP, 即 
禁止 该 报 文通 过 ,否则 返回 NF_ACCEPT ,放行 该 报 文 。 
回调 函数 。 函 数 原型 为 : 
static int callback( struct nfq q handle * qh, struct nfgenmsg * nfmsg, struct nfq data * 
nfa, void * data); 
该 函数 用 于 设置 IP 报 文 的 处 理 方式 ,告知 Netfilter 框架 如 何 处 理 对 应 的 IP 报 文 ， 
即 放行 还 是 拒绝 。 该 函数 会 被 Libnetfilter_queue 函数 库 在 发 送 IP 报 文 前 自动 调 
用 。 该 函数 首先 检查 全 局 变量 enable_flag, 若 为 0, 表 示 用 户 关闭 了 该 防火 墙 的 报 
文 检 查 和 过 滤 功 能 , 则 直接 将 该 IP 报 文 的 处 理 方式 设置 为 NF__ACCEPT。 和 否则 , 根 
据 该 IP 报 文 的 协议 类 型 ,调用 相应 协议 的 检查 函数 (udp_check(),tcp_check()， 
icmp_check() 之 一 ) ,形成 相应 的 检查 和 控制 结果 ,然后 据 此 设置 该 报 文 的 处 理 方 
式 , 即 NF_ACCEPT 或 NF_DROP。 

上 述 报 文 检查 相关 的 六 个 函数 ( 即 上 述 九 个 函数 中 的 后 六 个 函数 ) 间 的 调用 及 引用 关系 
如 图 11-1 所 示 。 


回调 函数 
callback 
1 
1CMP 报 文 过 涯 限 数 TCP 报 文 过 滤 蛆 数 UDP 报 文 过 渡 丙 数 
icmp_check tcp_check udp_ check 
IP 地 址 匹配 函 冤 端口 匹配 函数 
ipaddr_check port_check 


图 11-1 报 文 检查 相关 函数 间 的 调用 关系 


11.2.4 函数 实现 和 注释 


1. 主 函 数 

int main( int argc, char *x argv){ 
char buf[1600]; // 从 IP 层 获 得 的 报 文 数据 缓冲 区 ,长 度 要 大 于 最 大 IP 长 度 ( 即 1512) 
int length; // 用 于 保存 每 次 获得 报 文 数据 的 长 度 


if (argc == 1) 
enable flag = 0; // 关 闭 防火 墙 的 报 文 过 滤 功 能 

else { 
getpara(argc, argv); ”// 获 得 命令 行 选项 中 的 控制 配置 信息 到 全 局 变量 中 
printf("input info: p = %d,x= %dy= %dm= %dn = $%d\n", controlled_ 
protocol, controlled saddr, controlled daddr, controlled srcport, controlled_ 
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} 


dstport); /* 显示 所 配置 的 控制 信息 * / 
} 
h = nfq_open(); // 打 开 Libnetfilter_queue 函数 库 , 并 实例 化 一 个 库 句 柄 
if (!h) { 

fprintf(stderr，"Error during nfq_open()\n"); 

exit(1); 


} 
证 (nfq_unbind_pf(h, AF_INET) < 0) { // 解 除 对 nf_queue 句柄 已 经 存在 的 绑 定 
fprintf(stderr, "already nfq unbind pf()\n"); 
exit(1); 
} 
if (nfq bind pf(h, AF_INET) < 0) { // 对 nf_queue 句柄 重新 绑 定 协议 簇 
fprintf(stderr, "Error during nfq bind pf()\n"); 
exit(1); 
} 
qh = nfq create queue(h,0, &callback, NULL); 
/* 选择 处 理 队列 号 (这 里 采用 0 号 队列 ) 和 设置 回调 处 理 函数 callback * / 
证 (!qh) { 
fprintf(stderr，"Error during nfq_create queue()\n"); 
exit(1); 
} 
if(nfq_set_mode(qh, NFQNL COPY PACKET, Oxffff)<0){ 
/* 设 置 参数 NFQNL_COPY_ PACKET 表示 返回 数据 包 * / 
fprintf(stderr, "Can't set packet_copy mode\n"); 
exit(1); 
. 
// 数 据 结构 转换 
nh = nfq_nfnlh(h); 
fd = nfnl fd(nh); 
while(1) { 
length= recv(fd, buf,1600,0);  // 此 处 完成 接收 数据 包 
nfq_handle_packet(h, buf, length); /* 完 成 发 包 的 真正 函数 , 函数 nfq_handle_packet() 
会 调用 在 函数 nfq_create_queue() 中 设置 的 回调 函数 来 处 理 数据 包 * / 


nfq_destroy_queue(qh) ; // 关 闭 队 列 处 理 
nfq_close(h); // 关 闭 库 
exit(0); 


2. 命令 行 选项 解析 函数 


int getparal( int argc, char * argv[]){ 


int optret; // 保 存 每 次 解析 出 的 选项 字符 
unsigned short tmpport; // 保 存 端 口 的 临时 变量 
optret = getopt(argc,argv, "pxymnh"); // 获 取 第 一 个 选项 

while( optret != -1 )1{ 


printf(" first in getpara: % s\n",argv[optind]); 
switch(optret) { 
case 'p': // 该 选项 为 协议 类 型 
证 (strncmp(argv[optind], "ping",4) == 0 ) 
controlled protocol = 1; // 希 望 对 ping 应 用 进行 控制 
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else 
证 ( strncmp(argv[optind]，"tcp",3) == 0 ) 
controlled_protocol = 6;// 希 望 控制 TCP 报 文 


else 
if ( strncmp(argv[optind], "udp",3) == 0) 
controlled protocol = 17; // 希 望 控制 UDP 报 文 


else {// -后跟 非 “ping”“tcp"“udp”, 即 不 支持 的 协议 类 型 


printf("Unkonwn protocol! Please check and try again! \n"); 


exit(1); 


break; 
Case 'X' // 该 选项 为 源 IP 地 址 
if (inet aton(argv[optind], (struct in_addr * )&controlled saddr) == 0){ 
/* 用 于 将 十 进 制 点 分 IP 地 址 格式 如 “192.168.47.1” 转 化 为 32 位 整数 型 IP 地 址 


格式 * / 
printf("Invalid source ip address! Please check and try again! \n "); 


exit(1); 
} 
break; 
case 'y': // 该 选项 为 目标 IP 地 址 
if ( inet aton(argv[optind], (struct in_addr * )&controlled daddr) == 0){ 
printf("Invalid destination ip address! Please check and try again! \n"); 
exit(1); 
} 
break; 
case 'm': // 该 选项 为 源 端口 
// 将 字符 串 类 型 转化 为 数字 型 


tmpport = atoi(argv[optind]); 


if (tmpport == 0){ 
printf("Invalid source port! Please check and try again! \n "); 


exit(1); 
} 
controlled_srcport = htons(tmpport); // 转 化 为 网 络 字 节 序 
break; 
// 该 选项 为 目标 端口 


Case 'n': 
tmpport = atoi(argv[optind]); 
if (tmpport == 0){ 
printf("Invalid source port! Please check and try again! \n "); 
exit(1); 


} 
controlled dstport = htons(tmpport); 


break; 

case 'h' : // 用 户 输入 h, 表 示 需 要 帮助 (help) 
display_usage(argv[0]); // 提 示 用 户 命令 行 选项 格式 
exit(1); 

default: 

printf("Invalid parameters! \n "); 
display_usage(argv[0]); // 提 示 用 户 命令 行 选项 格式 
exit(1); 

} 
// 处 理 下 一 个 选项 


optret = getopt(argc,argv,"pxymnh"); 
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3. 命令 行 选项 提示 函数 


void display_usage(char * commandname){ 
printf("Usage 1: % s\n", commandname); // 后 不 跟 任 何 参数 ,关闭 报 文 过 滤 功 能 
printf("Usage 2: %s —x saddr -Ydaddr -msrcport —n dstport \n", commandname); 
} 


4. 端口 匹配 函数 


int port_check(unsigned short srcport, unsigned short dstport){ 
// 按 要 控制 的 源 端口 和 目标 端口 是 否 为 0, 分 四 种 情况 处 理 
if ((controlled_srcport == 0 ) && ( controlled dstport == 0 )){ /* 要 控制 的 源 端 口 和 目 
标 端口 均 为 0, 表示 对 所 有 的 源 端 口 和 目标 端口 进行 控制 * / 
return MATCH; 
} 
证 ((controlled_ srcport ! = 0 ) && ( controlled dstport == 0 )){ /* 要 控制 的 目标 端口 为 
0, 表 示 对 所 有 目标 端口 进行 控制 * / 
if (controlled_srcport == srcport) // 只 比较 源 端口 
return MATCH; 
else 
return NMATCH; 
¥ 
证 ((controlled_srcport == 0 ) && ( controlled dstport != 0 )){ /* 要 控制 的 源 端 口 为 0, 
表示 对 所 有 源 端 口 进行 控制 * / 
if (controlled dstport == dstport) // 只 比较 目标 端口 
return MATCH; 
else 
return NMATCH; 
} 
if ((controlled srcport ! = 0 ) && ( controlled dstport != 0 )){ /x* 要 控制 的 源 端 口 和 目 
标 端口 均 不 为 0, 要 同时 对 源 端口 和 目标 端口 进行 比较 * / 
if ((controlled_srcport == srcport) && (controlled dstport == dstport)) 
return MATCH; 
else 
return NMATCH; 
} 
return NMATCH; // 正 常情 况 下 不 会 运行 到 此 
} 


5. IP 地 址 匹配 函数 


int ipaddr_check(unsigned int saddr, unsigned int daddr){ 
// 按 要 控制 的 源 IP 地 址 和 目标 IP 地 址 是 否 为 0, 分 四 种 情况 处 理 
if ((controlled_saddr == 0 ) && ( controlled daddr == 0 )){ /x* 要 控制 的 源 IP 地 址 和 目 
标 IP 地 址 均 为 0, 表 示 对 所 有 的 源 IP 地 址 和 目标 IP 地 址 进行 控制 * / 
return MATCH; 
if ((controlled_saddr != 0 ) && ( controlled daddr == 0 )){ /x* 要 控制 的 目标 IP 地 址 为 
0, 表 示 对 所 有 目标 IP 地 址 进行 控制 * / 
if (controlled saddr == saddr) // 只 比较 源 IP 地 址 
return MATCH; 
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else 
return NMATCH; 
} 
if ((controlled_saddr == 0 ) && ( controlled daddr != 0 )){ /* 要 控制 的 源 IP 地 址 为 0， 
表示 对 所 有 源 IP 地 址 进行 控制 * / 
证 (controlled_daddr == daddr) // 只 比较 目标 TP 地 址 
return MATCH; 
else 
return NMATCH; 
. 
证 ((controlled saddr != 0 ) && ( controlled daddr != 0 )) { /x* 要 控制 的 源 世 地 址 和 
目标 IP 地 址 均 不 为 0, 要 同时 对 源 IP 地址 和 目标 IP 地址 进行 比较 */ 
if ((controlled saddr == saddr) && (controlled daddr == daddr)) 
return MATCH; 
else 
return NMATCH; 
i 
return NMATCH; // 正 常情 况 下 不 会 运行 到 此 
} 


6. ICMP 报 文 过 滤 函 数 


int icmp_check(void){ 

struct icmphdr * picmphdr; 

/* 首先 获得 IP 报 文中 ICMP 报头 , 由 于 ICMP 报头 紧 跟 在 IP 头 部 之 后 , 即 从 缓冲 区 起 始 位 置 开 
始 , 跳 过 IP 报头 的 长 度 即 为 ICMP 报头 。 在 IP 头 结构 体 中 ,用 ihl 域 表示 IP 报头 长 度 , 由 于 
该 域 的 长 度 单位 为 32bit( 即 四 个 字 节 ), 若 以 字 节 为 单位 ,IP 报头 长 为 ihl * 4 个 字 节 */ 

picmphdr = (struct icmphdr * )((char * )piphdr + (piphdr -> ihlx4));// 获 得 ICMP 报 文 头 

// 只 对 ICMP 的 一 类 报 文 (类 型 为 0 或 8) 进 行 控制 ,就 能 达到 禁止 ping 的 目的 

证 (picmphdr ->type == 8){// 该 类 型 的 报 文 为 客户 端 向 远程 服务 器 发 出 的 ping 请 求 报 文 

if (ipaddr check(piphdr -> saddr, piphdr -> daddr) == MATCH){ 
printk("An ICMP packet is denied! \n"); 
return NF_DROP; 

. 

. 

证 (picmphdr ->type == 0){ /* 该 类 型 的 报 文 为 远程 服务 器 向 发 出 ping 请 求 报 文 的 客户 端 所 

回复 的 响应 报 文 , 注意 下 面 匹配 时 ,调用 函数 ipaddr_check(piphdr -> daddr, piphdr -> saddr)， 

将 该 响应 报 文 的 目标 IP 地 址 与 要 控制 的 源 IP 地 址 进行 匹配 ,将 该 响应 报 文 的 源 IP 地 址 与 要 控 

制 的 目标 IP 地 址 进行 匹配 * / 

if (ipaddr_check(piphdr -> daddr, piphdr -> saddr) == MATCH){ 
Printk("An ICMP packet is denied! \n"); 
return NF_DROP; 

} 

} 

// 对 其 他 类 型 的 ICMP 报 文 或 者 与 控制 的 IP 地 址 不 匹配 的 ICMP 报 文 , 均 默 认 放行 

return NF_ACCEPT; 

} 


7. TCP 报 文 过 滤 函 数 


int tcp_check(void){ 
struct tcphdr * ptcphdr; 
ptcphdr = (struct tcphdr x* )((char * )piphdr + (piphdr — > ihl * 4)); /x* 跳 过 IP 报 文 
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的 头 部 长 度 ,获得 TCP 报 文 的 头 部 * / 
// 进 行 地 址 和 端口 的 匹配 
if( (ipaddr_check (piphdr - > saddr, piphdr - > daddr) == MATCH) && (port_check (ptcphdr - > 
source, ptcphdr -> dest) == MATCH)){ 
printk("A TCP packet is denied! \n"); 
return NF_DROP; // 拒 绝 与 控制 的 地 址 和 端口 相 匹 配 的 TCP 报 文 
} 
else 
return NF_ACCEPT; // 放 行 与 控制 的 地 址 和 端口 不 匹配 的 TCP 报 文 
} 


8. UDP 报 文 过 滤 函 数 


int udp_check(void){ 
struct udphdr * pudphdr; 
pudphdr = (struct udphdr * )((char * )piphdr + (piphdr 一 > ihl * 4)); /* 跳 过 IP 报 文 
的 头 部 长 度 , 获得 UDP 报 文 的 头 部 * / 
// 进 行 地 址 和 端口 的 匹配 
if((ipaddr_check (piphdr - > saddr, piphdr - > daddr) == MATCH) &&(port_check(pudphdr -> 
source, pudphdr - > dest) == MATCH)){ 
printk("A UDP packet is denied! \n"); 
return NF_DROP; // 拒 绝 与 控制 的 地 址 和 端口 相 匹配 的 UDP 报 文 
} 
else 
return NF_ACCEPT; // 放 行 与 控制 的 地 址 和 端口 不 匹配 的 UDP 报 文 
} 


9. 回调 函数 


static int callback(struct nfq_q_handle * qh，struct nfgenmsg * nfmsg, struct nfq data * nfa, 
void x* data) {// 使 用 Libnetfilter_queue 要 用 到 的 函数 ,含有 对 包 的 判决 
/* 调用 该 钩子 函数 时 , 传递 4 个 参数 给 钓 子 函 数 , 这 4 个 参数 的 顺序 、 类 型 及 含义 是 由 
Libnetfilter_queue 函数 库 预 先 定义 好 的 ,开发 者 不 能 擅自 定义 */ 
int id = 0;// 保 存 该 IP 的 序号 ,设置 断言 ( 即 处 理 方式 ) 时 告知 系统 是 针对 哪个 IP 包 的 
struct nfqnl_msg_packet_hdr * ph; 
unsigned char * pdata = NULL; 
int pdata_len; 
int dealmethod = NF_DROP; // 该 报 文 的 默认 处 理 方式 
char srcstr[32],deststr[32]; 
ph = nfq get msg packet hdr(nfa); 
if (ph == NULL) 
return 1; 
id = ntohl(ph 一 > packet id); 
证 (enable flag == 0) 。 /* 首 先 检查 防火 墙 的 报 文 过 滤 功能 是 否 启用 ,如 没有 启用 ,直接 放 
行 相应 的 IP 报 文 */ 
return nfq_set_verdict(qh,id, NE_ACCEPT, 0，NULL); /* 设置 该 报 文 的 处 理 方式 为 放行 * / 
pdata_len = nfq_get_payload(nfa，(char *x )&pdata); // 获 取 IP 层 发 来 的 报 文 
if (pdata != NULL) 
piphdr = (struct iphdr * ) pdata; // 转 化 为 IP 头 指针 , 即 获得 IP 头 部 
else 
return 1; // 无 法 获得 有 效 的 IP 头 部 ,提前 退出 该 函数 
inet_ntop(AF_INET, &(piphdr -> saddr)，srcstr, 32); ”// 将 32 位 源 IP 地 址 转化 为 点 分 形式 
的 字符 串 格 式 , 供 输 出 显示 
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inet_ntop(AF_INET, &(piphdr ->daddr), deststr, 32); // 将 32 位 目标 IP 地 址 转化 为 点 分 形 


式 的 字符 串 格式 , 供 输出 显示 
printf("get a packet: %s -> %s"，srcstr，deststr); // 输 出 该 报 文 的 源 和 目的 地 址 
// 首 先 判断 是 否 为 要 控制 的 协议 类 型 
if(piphdr -> protocol == controlled protocol) 
if (piphdr ->protocol == 1) // 协 议 号 为 1, 为 ICMP 报 文 
dealmethod = icmp check(); 
else 
if (piphdr ~-> protocol == 6) // 协 议 号 为 6, 为 TCP 报 文 
dealmethod = tcp_check(); 
else 
if (piphdr ->protocol == 17) // 协 议 号 为 17, 为 UDP 报 文 
dealmethod = udp_check(); 
else {// 其 他 的 协议 号 ,默认 放行 ,通常 程序 不 会 运行 到 该 分 支 
printf("Unkonwn type's packet! \n"); 
dealmethod = NF_ACCEPT; 
} 
else 
dealmethod = NF_ACCEPT; // 不 是 要 控制 的 协议 类 型 ,直接 放行 


return nfq_set_verdict(qh, id, dealmethod, 0, NULL); // 设 置 对 该 报 文 的 处 理 方式 


11.3 编译、 运行 及 测试 


在 完成 11. 2 节 的 原型 系统 源 代码 编写 后 ,就 可 运行 和 测试 该 防火 墙 原型 系统 ,在 运行 
测试 前 需要 将 源 代 码 编译 成 可 执行 程序 。 


11.3.1 编译 环境 ,方法 和 过 程 


前 面 提 到 ,本 章 开 发 实践 中 的 防火 墙 原型 系统 是 在 Libnetfilter_queue 函数 库 的 基础 上 
完成 ,因此 在 编译 该 防火 墙 原型 系统 时 ,需要 下 载 和 安装 相应 的 函数 库 , 可 以 至 Netfilter 的 
官方 网 站 下 载 。 

在 网 络 浏览 器 的 地 址 栏 输入 “http://ftp. netfilter. org/pub/libnetfilter_queue/”, 网 页 
上 会 出 现 Libnetfilter_queue 函数 库 的 各 个 版 本 列表 。 本 开发 实践 中 编者 采用 的 是 0.0. 17 
版 本 ,这 里 假定 读者 也 下 载 安装 该 版 本 , 选 定 该 版 本 的 链接 ,另存 到 本 地 完成 下 载 。 
Libnetfilter_queue 函数 库 的 安装 过 程 中 ,系统 会 提示 依赖 Libnfnetlink 函数 库 , 这 需要 先 去 
下 载 和 安装 Libnfnetlink 函数 库 , 同 下 载 Libnetfilter_queue 函数 库 相 同 的 官方 网 站 即 可 下 
载 ,在 进行 该 开发 实践 时 采用 的 Libnfnetlink 函数 库 版 本 为 1.0.0。 

下 载 的 这 两 个 函数 库 均 为 源码 压缩 文件 ,安装 前 需要 先行 解压 。 通 过 在 各 自 的 解压 目 
录 下 分 别 执行 命令 configure 和 make install 来 完成 这 两 个 库 的 安装 。 这 里 需要 注意 的 是 ， 
由 于 默认 安装 路 径 的 原因 ,上 述 两 个 库 的 安装 过 程 可 能 会 出 现 一些 错 误 ( 与 Linux 的 版 本 相 
关 , 如 Fedora Core 6 系统 ) 。 

两 个 库 安 装 过 程 中 出 错 的 主要 原因 和 解决 方法 为 : 通过 在 Libnfnetlink 函数 库 解 压 目 
录 下 执行 命令 configure 和 make install 后 ,该 库 会 默认 安装 在 目录 /usr/locallib 下 ; 而 后 
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在 Libnetfilter_queue 函数 库 解 压 目 录 下 执行 命令 configure 时 ,会 提示 找 不 到 所 依赖 的 
Libnfnetlink 库 文件 ,这 是 因为 该 configure 命令 只 会 在 目录 /lib 和 目录 /usr/lib 下 查找 
Libnfnetlink 库 文件 ,只 要 将 目录 /usr/local/lib 下 的 相关 文件 ( 含 其 下 的 子 目 录 ) 复 制 到 目 
录 /usr/lib 或 目录 /lib 下 , 即 可 成 功 执行 Libnetfilter_queue 的 configure 命令 ; 最 后 在 
Libnetfilter_queue 解压 目录 下 执行 make install, 即 可 完成 Libnetfilter_queue 函数 库 的 安 
装 。 另 外 ,在 编译 和 和 运行 防火 墙 原 型 系统 的 过 程 中 , 若 出 现 找 不 到 Libnetfilter_queue 函数 
库 的 错误 ,用 同样 方法 解决 , 因 该 库 也 默认 安装 在 目录 /usr/local/lib 下 。 

完成 上 述 两 个 库 的 下 载 和 安装 后 ,编译 该 开发 实践 中 的 防火 墙 原型 系统 比较 简单 ,只 需 
在 shell 终端 输入 如 下 命令 即 可 : 


gcc — lnetfilter queue -0 queue fw queue fw.c 


其 中 -lnetfilter_queue 指明 了 使 用 的 函数 库 为 Libnetfilter_queue, 这 里 queue_fw.c 为 
11. 2 节 中 源 代 码 所 在 的 源 文件 ,该 文件 保存 在 当前 目录 下 ,queue_fw 为 所 指定 的 目标 文件 
名 。gcc 命令 执行 结束 后 ,就 会 在 当前 目录 下 产生 一 个 名 为 queue_fw 的 可 执行 程序 。 


11.3.2 测试 环境 


应 用 层 包 过 滤 防 火 墙 和 内 核 模块 包 过 滤 防 火 墙 一 样 需要 运行 在 所 要 控制 网 络 的 路 由 结 
点 上 ,一般 放 置 在 内 部 网 络 连接 外 部 网 络 的 网 关 处 ,用 于 管理 和 控制 内 部 网 络 与 外 部 网 络 间 
的 网 络 通信 。 

常见 的 测试 方法 类 似 于 第 13 章 透明 代理 防火 墙 的 测试 ,将 一 台 双 网 卡 的 Linux 系统 用 
作 网 关 , 在 其 上 运行 防火 墙 程序 ,就 可 以 顺利 完成 本 章 开发 的 应 用 层 包 过 滤 防 火 墙 的 测试 和 
运行 。 

由 于 通常 接触 到 的 计算 机 为 PC, 很 少 配置 多 个 网 卡 ,为 实现 上 面 提 到 的 测试 环境 需 
要 另外 购置 网 卡 ,而 对 一 些 笔记 本 电脑 ,即使 再 另外 购置 一 个 网 卡 ,也 难以 安装 到 笔记 本 
电脑 中 。 鉴 于 此 ,本章 仍 采用 第 10 章 中 提 到 的 “简易 "网络 测试 环境 , 即 防火 墙 原 型 系 
统 和 测试 用 到 的 网 络 客户 端 在 同一 台 PC 上 ,来 完成 本 防火 墙 原型 系统 的 测试 和 功能 
验证 。 

在 进行 应 用 层 包 过 滤 防 火 墙 测试 前 ,首先 保证 测试 用 的 PC 已 将 IP 地 址 、 网 关 、DNS 服 
务 器 全 部 配置 正确 ,使 得 该 PC 能 够 正常 访问 网 络 。 另 一 方面 ,为 避免 Linux 系统 内 置 的 包 
过 滤 防 火 墙 干 扰 本 防火 墙 的 测试 过 程 ,建议 进行 测试 时 ,预先 关闭 Linux 系统 的 内 置 防火 
墙 ,具体 方法 参见 5.2.4 节 ,在 如 图 5-4 所 示 的 界面 中 将 “启用 ”改选 为 禁止” 即 可 。 

编者 所 用 的 测试 机 器 所 配置 的 IP 地 址 为 192. 168. 47. 183, 下 节 闸 述 在 这 人 台 机 器 上 的 
具体 测试 过 程 。 


11.3.3 防火 墙 的 功能 测试 


1.Netfilter 队列 机 制 的 启动 

从 上 文 介绍 可 知 ,本 章 开发 出 的 应 用 层 包 过 滤 防 火 墙 原型 系统 的 工作 基础 是 借助 于 
Netfilter 框架 的 队列 机 制 截获 IP 报 文 ,因而 测试 前 首先 需要 启用 Netfilter 的 队列 机 制 。 即 
在 shell 终端 下 执行 如 下 的 Netfilter 规则 配置 命令 : 
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iptables — A OUTPUT — j QUEUE 


该 规则 设置 Netfilter 框架 将 所 有 经 过 网 络 出 口 点 (OUTPUT) 的 报 文 以 队列 形式 发 送 

到 应 用 层 。 执 行 完 该 条 命令 后 ,在 启动 应 用 层 包 过 滤 防 火 墙 前 ,所 有 的 网 络 应 用 都 不 能 使 
用 ,因为 这 时 所 有 的 IP 报 文 都 被 Netfilter 框架 通过 队列 机 制 发 往 应 用 层 空间 ,而 这 时 应 用 
层 包 过 滤 防 火 墙 还 没有 启动 ,这 些 发 往 应 用 层 空间 的 报 文 没有 任何 程序 来 接收 它们 ,这 些 报 
文 自然 被 舍弃 ,相当 于 网 络 在 IP 层 被 隔断 ,任何 网 络 应 用 都 不 能 正常 使 用 。 

2. 网 络 应 用 的 全 通 测 试 

从 上 面 的 开发 实践 可 知 ,如 果 本 章 开 发 的 应 用 层 包 过 滤 防 火 墙 运行 时 不 配置 任何 控制 
规则 , 即 用 命令 行 启动 时 不 设置 任何 选项 , 则 该 防火 墙 不 对 任何 报 文 进行 控制 ,只 是 接收 
ep IP 报 文 ,然后 再 将 这 些 报 文 发 还 IP 层 , 继 续 进 行 后 续 处 

这 时 候 , 该 防火 墙 全 部 放行 所 有 接收 到 的 IP 报 文 ( 即 防火 墙 工作 在 全 通 状 态 ) ,相当 于 

We IP 报 文 转发 功能 。 

为 确定 本 防火 墙 的 报 文 处 理 流 程 是 否 正常 ,首先 进行 该 防火 墙 的 全 通 状 态 测 试 。 在 
shell 终端 下 执行 如 下 命令 : 

./queue fw 

该 命令 启动 防火 墙 , 且 所 有 的 网 络 服务 功能 都 能 够 正常 使 用 。 要 终止 该 防火 墙 的 运行 ， 
同 终止 运行 其 他 程序 一 样 , 直 接 在 该 shell 终端 下 按 Ctrl 十 C 键 即 可 。 

3. ICMP 报 文 控制 功能 测试 

在 shell 终端 下 执行 如 下 命令 : 

./queue fw -p ping -y 192.168.47.254 

其 中 192. 168. 47. 254 为 局 域 网 内 一 主机 的 IP 地 址 ,该 控制 规则 要 求 禁止 对 该 主机 的 
ping 操作 。 按 如 上 方式 启动 防火 墙 后 ,就 不 能 ping 通 该 主机 ,而 可 以 ping 通 局 域 网 内 的 其 
他 IP 地 址 (如 192. 168. 47. 240) 的 主机 。 

该 测试 过 程 和 信息 输出 如 图 11-2 所 示 。 


Foot@IDServer:~/book experiments/queue Fw 


文件 六 强生 ) 查看 V) 终端 WD 标签 @)》 帮助 中 


[root6IDServer queue_fw]> lnetfilter_queue 
r queue_fw]# 


r queue_fw]# ./queue i 


0 queue fv qucve_ fv. 


root6IDSe 


get a packet: 192 
an ICMP packet is 


get a packet: 192 83 -> 192.168.47.254 


83 -> 192.168.47.254 


图 11-2 ICMP 报 文 控制 功能 测试 
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上 面 测试 过 程 中 ,防火 墙 原 型 系统 除 截获 到 ping 程序 发 向 IP 地 址 为 192. 168. 47. 254 
和 192. 168. 47. 240 主机 的 ICMP 报 文 外 ,还 截获 到 本 机 上 其 他 应 用 的 数据 包 ( 如 
192. 168. 47. 183 一 之 192. 168. 47. 183 的 报 文 ) ,测试 过 程 中 可 不 理会 这 些 数 据 包 。 

4. TCP 报 文 控 制 功能 测试 

在 shell 终端 下 执行 如 下 命令 : 


./queue_fw -p tcp -y 202.120.58.161 -n 80 


其 中 202. 120. 58. 161 为 上 海 交 通 大 学 BBS 服务 器 (URL 为 bbs. sjtu. edu. cn) 的 IP 地 
址 ,该 规则 要 求 阻 止 发 往 该 服务 器 80 端口 的 TCP 报 文 ,执行 后 不 能 以 HTTP 方式 正常 访 
问 该 BBS 服务 器 ,但 可 访问 其 他 网 站 (如 www. sjtu. edu. cn) 的 HTTP 服务 ,也 能 访问 FTP 
等 服务 。 

该 测试 过 程 和 信息 输出 如 图 11-3 所 示 。 


get a packet: 192.168.47.183 -> 74.125.71.104 


11-3 ”TCP 报 文 控制 功能 测试 


上 面 测 试 过 程 中 ,防火 墙 原型 系统 截获 到 发 往 bbs. sjtu. edu. cn(IP 地 址 为 202. 120. 58. 161) 、 
www. sjtu edu. cn(IP 地 址 为 202. 120. 2. 102) .DNS 服务 器 (IP 地 址 为 202. 120. 2. 100) 的 
报 文 , 其 中 发 往 IP 地 址 为 202. 120. 58. 161 的 TCP 报 文 被 阻止 。 

5. UDP 报 文 控制 功能 测试 
域名 解析 时 ,DNS 服务 器 和 客户 端 一 般 采 用 UDP 协议 进行 交互 ,下面 用 DNS 应 用 来 
测试 本 防火 墙 系统 对 UDP 报 文 的 控制 情况 。 

在 shell 终端 下 执行 如 下 命令 : 


/queue_ fw -p udp -y 202.120.2.100 


其 中 202. 120. 2. 100 为 上 海 交 通 大 学 校内 DNS 服务 器 的 IP 地 址 ,执行 了 这 条 规则 后 ， 
所 有 以 域名 形式 访问 外 网 的 网 络 应 用 都 不 能 正常 使 用 ,而 直接 使 用 IP 地 址 可 以 进行 访问 。 

下 面 以 ping 为 例 说 明 具体 测试 及 对 比 过 程 ,具体 为 : 如 上 方式 启动 该 防火 墙 原型 系 
统 ; @ 用 域名 形式 ,不 能 ping 通 URL 为 www. sjtu. edu. cn 的 HTTP 服务 器 ,在 域名 解析 
时 就 出 现 了 错误 ,如 图 11-4 所 示 ; @@ 用 其 他 机 器 上 的 ping 命令 解析 出 www. sjtu. edu. cn 
的 IP 地址 ,直接 用 其 IP 地 址 (202. 120. 2.102), 就 可 以 正常 ping 通 该 服务 器 。 

注意 : 在 进行 相应 测试 时 ,最 好 近期 内 没有 访问 过 作为 测试 目标 的 服务 器 ,否则 该 服务 
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器 的 IP 地 址 可 能 已 经 缓存 在 本 机 内 。 
伴随 上 面 的 测试 过 程 ,该 防火 墙 原型 系统 的 运行 信息 输出 如 图 11-4 所 示 。 


文件 人 ” 编 名 筷 ”查看 WW 党 端 CD) 标签 @@) 帮助 G) 


[root6IDServer queue_fw]= ./q 


-udp -y 202.120.2.100 S| 


get a packet: 
block sn udp 
get a packet 
block an udp 


2.120.2.100 


168.47.183 
,168.47.183 
get a packet: 192.168.47.183 -> 202.120.2.102 


图 11-4 UDP 控制 功能 测试 输出 


上 面 测试 过 程 中 ,本 防火 墙 原型 系统 阻止 了 发 往 DNS 服务 器 (IP 地 址 为 202. 120. 2. 
100) 的 UDP 报 文 ,放行 了 发 往 IP 地 址 为 202. 120. 2. 102 的 ICMP 报 文 。 


6. 关闭 防火 墙 和 Netfilter 的 队列 功能 


按 Ctrl 十 C 键 可 直接 终止 本 防火 墙 系统 的 运行 ,这 时 候 网 络 无 法 正常 使 用 ,因为 前 面 配 
置 的 Netfilter 队列 功能 仍 在 发 挥 作用 ,所 有 的 IP 报 文 都 被 Netfilter 框架 通过 队列 机 制 发 
往 应 用 层 空间 。 因 而 只 有 在 关闭 Netfilter 的 队列 功能 后 ,网 络 才能 正常 使 用 。 涉 及 到 的 命 
令 有 : 

./iptables -L OUTPUT # 查 出 该 规则 的 规则 号 码 

. /iptables -D OUTPUT 1 ## 若 用 户 没 配置 其 他 规则 ,删除 OUTPUT 链 上 的 1 号 规则 


对 应 的 具体 执行 过 程 如 图 11-5 所 示 。 


iptables -A OUTPLT -i QUEUE 
iptables -L OUTFCT 


destination 
anyvhere 
iptables -D OUTPLT 1 
iptables -L OUTPLT 


QUEUE all 一 anyvhe 


target Fr 


0 
[ roote1DServe 


s destination 
r queue_fw 


图 11-5 队列 功能 关闭 过 程 


11.4 扩展 开发 实践 


本 童 基于 Netfilter 的 队列 机 制 实现 了 一 个 应 用 层 包 过 滤 防 火 墙 原型 系统 ,该 防火 墙 原 
型 系统 通过 设置 Netfilter 框架 ,使 其 在 收 到 IP 报 文 时 ,将 这 些 报 文 以 队列 方式 传递 到 应 用 


层 , 应 用 层 包 过 滤 防 火 墙 按照 包 过滤 规 则 对 这 些 报 文 进行 控制 。 可 以 基于 该 原型 系统 在 以 
下 方面 进行 相关 的 扩展 开发 实践 。 
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11.4.1 应 用 层 包 过 滤 防火 墙 的 控制 功能 扩展 


本 章 实 现 的 应 用 层 包 过 滤 防 火 墙 原型 系统 的 报 文 过 滤 功 能 非常 有 限 ,具体 体现 在 以 下 
几 个 方面 : 

。 控制 规则 简单 ,只 能 依据 通信 双方 的 IP 地 址 和 端口 进行 检查 和 控制 ”实际 上 包 过 
滤 防 火 墙 还 可 以 依据 其 他 要 素 进 行 控制 ,如 基于 时 间 段 进行 控制 ,在 休息 日 时 间 不 
准 从 外 网 访问 内 网 ,再 如 区 分 内 网 和 外 网 ,不 允许 外 部 网 络 向 内 部 网 络 发 起 连接 请 
求 等 。 
以 几 个 简单 变量 存储 所 配置 的 控制 信息 ,相当 于 只 能 支持 一 条 包 过 滤 规 则 显然 ， 
这 对 一 个 实用 的 包 过 滤 防 火 墙 而 言 是 不 合适 的 ,通常 一 个 实用 的 包 过 滤 防 火 墙 需要 
同时 支持 多 条 包 过 滤 规 则 。 
无 法 实现 控制 规则 的 动态 设置 ”由 于 控制 信息 以 命令 行 参数 的 形式 提供 ,因此 所 实 
现 的 防火 墙 原型 系统 无 法 在 系统 运行 过 程 中 动态 修改 控制 信息 。 要 修改 控制 信息 ， 
只 能 重新 运行 该 防火 墙 ,修改 后 的 控制 信息 才能 生效 。 

针对 上 面 提 到 的 几 方 面 问题 ,可 在 本 防火 墙 原 型 系统 基础 上 ,进行 以 下 方面 的 访问 控制 
功能 扩展 : 

。 检查 和 控制 要 素 的 扩展 ” 除 实现 基于 IP 地 址 、 端 口 的 检查 和 控制 外 ,还 能 基于 时 间 
段 ICMP 报 文 的 类 型 等 进行 报 文 的 检查 和 控制 。 
多 包 过 滤 规 则 的 扩展 。 以 表 的 形式 存储 包 过 滤 规 则 ,能够 支持 用 户 配置 多 条 包 过 滤 
规则 ,使 该 防火 墙 系统 能 够 同时 按 多 条 包 过 滤 规 则 进行 报 文 检 查 和 过 滤 控 制 。 
控制 信息 配置 ,保存 及 动态 更 新 扩展 具体 内 容 包 括 : 实现 一 个 友好 的 控制 信息 配 
置 界 面 (或 配置 程序 ) ,可 通过 该 配置 界面 实现 对 防火 墙 访问 控制 信息 的 配置 ; 支持 
包 过 滤 规 则 的 导入 、 导 出 、 添 加 、 编 辑 、 删 除 等 基本 功能 ; 实现 防火 墙 控 制 信息 的 动 
态 配 置 更 新 , 即 配 置 防火 墙 规 则 时 ,无 需 暂停 或 终止 防火 墙 的 运行 ,只 需 在 配置 完成 
之 后 进行 激活 处 理 , 防 火 墙 就 能 依据 新 配置 的 控制 规则 进行 网 络 连 接 控 制 。 


11.4.2 应 用 层 包 过 滤 防 火 墙 的 Netlink 通信 


Linux 系统 从 2.6 版 本 内 核 开始 ,其 Netfilter 框架 开始 以 标准 Netlink 的 形式 与 应 用 
层 进行 数据 交互 ,其 队列 机 制 开 始 建立 在 Netlink 的 通信 方式 上 实现 。Netfilter 框架 在 处 
理 收 到 的 IP 报 文 时 ,由 于 用 户 配置 等 原因 ,需要 将 报 文 发 送 到 应 用 层 空 间 时 ,就 采用 标准 的 
Netlink 方式 与 应 用 层 进行 通信 。 同 样 在 应 用 层 , 也 可 以 采用 标准 的 Netlink 接口 来 接收 和 
处 理 这 些 报 文 ,而 不 去 调用 Netfilter 提供 的 应 用 层 函 数 库 Libnetfilter_queue。 若 熟悉 
Netlink 接口 形式 ,直接 以 Netlink 接口 实现 应 用 层 包 过 滤 防 火 墙 也 没有 很 大 的 难度 。 

本 书 第 9 章 的 开发 实践 展示 了 通过 Netlink 机 制 实现 应 用 层 和 内 核 通信 的 具体 实例 ， 
既 包 括 内 核 层 的 Netlink 接口 编程 ,也 包括 应 用 层 的 Netlink 接口 编程 。 直 接 通过 Netlink 
机 制 实现 应 用 层 包 过 滤 防 火 墙 , 只 需 实现 应 用 层 的 Netlink 接口 编程 即 可 ,内 核 层 中 基于 
Netlink 的 数据 发 送 和 接收 由 Netfilter 框架 完成 ,应 用 程序 只 要 按照 Netlink 的 接口 规范 ， 
就 能 与 Netfilter 框架 通过 Netlink 机 制 进行 IP 报 文 的 发 送 和 接收 。 
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11.4.3 应 用 层 包 过 滤 防火 墙 的 报 文 内 容 变 换 扩 展 


从 本 章 的 开发 实践 中 可 看 出 ,Netfilter 框架 利用 队列 机 制 将 IP 层 的 报 文 发 往 应 用 层 ， 
同时 可 以 继续 处 理 从 应 用 层 发 送 回 的 报 文 。 这 意味 着 Netfilter 框架 不 仅 是 向 应 用 程序 询 
问 每 个 IP 报 文 的 处 理 方式 (丢弃 或 放行 等 ) ,还 允许 应 用 程序 对 报 文 的 内 容 进 行 改动 。 

因此 ,应 用 层 包 过 滤 防 火 墙 可 按 一 定 的 应 用 需求 对 IP 报 文 内 容 进行 变换 (或 修改 ) , 然 
后 将 经 过 内 容 变换 的 IP 报 文通 过 队列 机 制 再 返回 给 Netfilter 框架 ,Netfilter 框架 会 像 处 理 
原始 的 IP 报 文 一 样 继续 处 理 被 应 用 层 包 过 滤 防 火 墙 变 换 过 内 容 的 IP 报 文 。 基 于 这 种 IP 
报 文 内 容 变换 的 功能 ,可 以 开发 出 多 种 应 用 层 透明 的 网 络 安全 机 制 ,典型 的 有 : 

。 报 文 内 容 的 加 密 传输 。 即 在 应 用 层 包 过 滤 防 火 墙 中 ,对 IP 报 文 的 内 容 进行 加 密 处 
理 , 这 样 由 本 机 或 本 网 关 发 出 的 IP 报 文 ,其 内 容 都 是 密 文 。 在 接收 端的 网 关 或 端 系 
统 , 需 要 对 应 的 解密 处 理 , 即 实现 类 似 的 防火 墙 ,但 该 防火 墙 对 报 文 内 容 的 变换 由 加 
密 变 成 解密 。 这 样 就 能 实现 应 用 层 透 明 的 网 络 加 密 数据 通信 ,无论 是 客户 端 还 是 服 
务 器 都 感受 不 到 该 加 解密 过 程 的 存在 ,而 在 中 间 的 网 络 链 路 上 所 传输 的 数据 经 过 加 
密 处 理 ,安全 性 得 到 很 大 的 提高 。 
携带 该 报 文 相关 的 属性 信息 ,以 实现 数据 认证 等 功能 。 如 在 军事 、 国 防 领 域 得 到 应 
用 的 多 级 网 络 安 全 系统 中 ,需要 标记 所 传输 数据 的 安全 级 别 , 以 便 接收 方 对 接收 到 
的 数据 进行 安全 级 别 相关 的 处 理 ( 认 证 及 安全 级 别 跟 踪 等 )。 若 要 在 Linux 系统 上 
实现 类 似 的 安全 需求 ,就 可 以 采用 本 章 应 用 层 包 过 滤 防 火 墙 的 实现 方式 。 

鉴于 应 用 层 透 明 的 报 文 内 容 加 密 传 输 的 安全 需求 更 加 明确 ,也 便于 理解 ,在 本 章 内 容 基 
础 上 进行 报 文 内 容 变换 相关 的 开发 实践 时 ,可 以 此 为 例 来 进行 。 


11.4.4 应 用 层 包 过 滤 防 火 墙 的 攻击 检测 功能 扩展 


一 些 产品 化 的 网 络 防火 墙 除了 能 够 按照 包 过 滤 规 则 进行 IP 报 文 的 控制 外 ,还 具有 一 定 
的 攻击 检测 能 力 ,如 检测 端口 扫描 攻击 、 半 连接 攻击 等 。 本 书 第 17 章 的 开发 实践 详细 阐述 
一 个 端口 扫描 攻击 检测 的 实现 过 程 ,由 于 本 章 的 原型 系统 开发 也 能 实现 对 各 种 IP 报 文 ( 包 
括 SYN 报 文 ) 的 获取 ,因此 可 将 第 17 章 的 端口 扫描 攻击 检测 功能 集成 到 本 章 的 应 用 层 包 过 
滤 防 火 墙 的 实现 中 。 由 于 涉及 到 攻击 检测 的 相关 内 容 , 需 要 在 学 习 第 17 章 后 再 进行 本 扩展 
开发 实践 。 


11.5 本 章 小 结 


本 章 详细 阐述 了 基于 Netfilter 的 队列 机 制 实现 应 用 层 包 过 滤 防 火 墙 原 型 系统 ,该 原型 
系统 与 内 核 的 Netfilter 框架 通过 以 Netlink 为 接口 形式 的 队列 机 制 进行 IP 报 文 的 传递 。 
该 原型 系统 支持 一 条 包 过 滤 规 则 ,基于 协议 类 型 、 报 文 源 IP 地 址 和 目标 IP 地 址 、 报 文 源 端 
口 和 目标 端口 等 要 素 对 IP 报 文 进行 安全 检查 和 过 滤 。 这 种 应 用 层 包 过 滤 防 火 墙 的 实现 模 
式 不 仅 可 以 实现 对 报 文 的 过 滤 和 控制 ,还 可 以 在 应 用 层 对 报 文 内 容 进 行 变换 ,如 加 密 、 重 定 
向 等 ,以 实现 特定 的 功能 。 
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本 章 最 后 详细 讨论 在 应 用 层 包 过 滤 防 火 墙 原型 系统 基础 上 能 够 进行 的 扩展 开发 实践 ， 
包括 : 应 用 层 包 过 滤 防 火 墙 的 控制 功能 扩展 ,以 及 对 多 条 包 过 滤 规 则 的 支持 ; 基于 标准 的 
Netlink 接口 规范 实现 应 用 层 包 过 滤 防 火 墙 ; 应 用 层 包 过 滤 防 火 墙 的 报 文 内 容 变 换 , 实 现 应 
用 层 透明 的 网 络 加 密 通 信 #; 将 攻击 检测 功能 集成 到 防火 墙 原型 系统 中 。 有 兴趣 的 读者 可 在 
此 原型 系统 上 进行 相应 的 扩展 开发 实践 。 


习 题 


1. 简 述 应 用 层 包 过 滤 防 火 墙 的 功能 组 成 和 实现 结构 。 

2. 从 编程 实现 来 看 ,内 核 模块 包 过 滤 防 火 墙 与 应 用 层 包 过 滤 防 火 墙 有 哪些 不 同 ? 

3. 实现 应 用 层 包 过 滤 防 火 墙 无 需 在 Netfilter 框架 中 注册 钩子 函数 ,是 不 是 应 用 层 包 过 
滤 防 火 墙 的 实现 无 需 Netfilter 机 制 的 支持 ? 

4. 结合 系统 实现 的 程序 结构 ,对比 内 核 模块 包 过 滤 防 火 墙 和 应 用 层 包 过 滤 防 火 墙 的 运 
行 效率 。 

5. 本 章 所 实现 的 应 用 层 包 过 滤 防 火 墙 ,在 开发 和 测试 过 程 中 需要 哪 两 个 函数 库 的 支 
持 , 这 两 个 函数 库 分 别 完成 什么 功能 ? 

6. 结合 源 代码 实现 , 简 述 应 用 层 包 过 滤 防 火 墙 的 IP 报 文 获取 方式 以 及 报 文 处 理 流程 。 

7. 应 用 层 包 过 滤 防 火 墙 在 对 ping 网 络 应 用 进行 控制 时 ,如 何 判 定 所 截获 的 IP 报 文 是 
否 是 ping 相关 的 报 文 而 加 以 检查 和 控制 ? 

8. 在 对 应 用 层 包 过 滤 防 火 墙 进 行 测试 的 过 程 中 ,如 果 用 kill 命令 杀 死 该 防火 墙 的 进 
程 ,此 时 网 络 处 于 什么 状态 , 即 是 否 能 够 进行 正常 的 网 络 通信 ? 

9. 结合 本 章 的 源 代码 实现 ,说 明 在 应 用 层 包 过 滤 防 火 墙 中 通过 什么 方式 来 具体 控制 IP 
报 文 的 拒绝 或 放行 。 

10. 结合 本 书 中 包 过 滤 防 火 墙 的 两 种 实现 方案 , 即 应 用 层 包 过 滤 防 火 墙 和 内 核 模块 包 
过 滤 防 火 墙 , 说 明 它 们 所 能 实现 的 防火 墙 功能 是 否 存在 差别 。 


第 12 章 应 用 代理 防火 墙 的 原型 实现 


章 主 要 阐述 如 何 实现 一 个 应 用 代理 防火 墙 原型 系统 。 下 面 首 先 介绍 该 原型 系统 的 总 
体 设计 ,然后 介绍 该 原型 系统 的 源 代 码 实 现 过 程 ,最 后 介绍 该 原型 系统 的 运行 与 测试 过 程 ， 
及 在 此 原型 系统 基础 上 能 够 进行 的 扩展 开发 实践 。 


12.1 原型 系统 的 总 体 设计 


12.1.1 原型 系统 的 功能 设计 


本 章 开 发 实践 目的 在 于 用 一 个 具体 实例 展现 如 何 实现 一 个 应 用 代理 防火 墙 原型 系统 ， 
而 不 是 要 实现 一 个 能 够 直接 使 用 的 完善 的 防火 墙 系统 。 为 突出 和 强调 应 用 代理 防火 墙 实现 
的 基本 原理 ,本 原型 系统 的 访问 控制 规则 比较 简单 ,只 支持 基于 客户 端 和 服务 器 地 址 的 访问 
控制 , 且 所 允许 通过 的 客户 端 IP 地 址 和 拒绝 的 服务 器 域名 以 预定 义 形式 直接 固定 在 源 代码 
中 ,无 须 另外 设计 相应 的 控制 规则 配置 程序 ,每 次 只 能 预定 义 一 个 客户 端 IP 地 址 和 一 个 服 
务 器 域名 , 形 如 : 

# define BLOCKED SERVER "bbs. sjtu. edu. cn" 

char ALLOWED CLIENTIP[20] = "192.168.47.8"; 

另外 ,客户 端 向 应 用 代理 防火 墙 申 请 代理 请 求 时 ,只 有 该 客户 端的 IP 地 址 与 预定 义 客 
户 端 IP 地 址 (由 全 局 变量 ALLOWED_CLIENTIP 指定 ) 一 致 , 且 所 请 求 服务 器 与 预定 义 服 
务 器 域名 (由 预定 义 BLOCKED_SERVER 指定 ) 不 一 致 时 ,该 代理 防火 墙 才 会 提供 网 络 代理 服 
务 。 在 编译 和 运行 该 原型 系统 前 ,可 以 按照 自己 的 网 络 环境 和 控制 目标 修改 上 面 的 预定 义 。 

通常 应 用 代理 防火 墙 需要 对 应 用 层 网 络 协议 进行 解析 , 即 应 用 代理 防火 墙 与 所 代理 的 
应 用 层 协议 类 型 密切 相关 ,应 用 代理 防火 墙 可 以 根据 需要 有 选择 地 对 一 些 应 用 层 协 议 提供 
代理 。 本 原型 系统 只 实现 了 对 HTTP 协议 的 代理 功能 ,本 章 的 12. 4 节 * 扩 展开 发 实践 ” 简 
单 阐述 了 其 他 应 用 层 协 议 ( 如 FTP 等 ) 代 理 功能 的 实现 思路 和 要 求 , 感 兴趣 的 读者 可 在 本 原 
型 系统 基础 上 进行 相应 的 扩展 开发 实践 。 

HTTP(Hyper Text Transfer Protocol) 是 超 文本 传输 协议 的 缩写 ,用 于 传送 WWW 方 
式 的 数据 ,关于 HTTP 协议 的 原始 资料 请 参考 RFC2616。HTTP 协议 采用 了 请 求 /响应 模 
型 。 首 先 客 户 端 向 服务 器 发 送 一 个 请 求 消息 ,具体 包括 一 个 请 求 行 (包含 请 求 方 法 、 请 求 
URL 和 HTTP 版 本 ) 请求 头 标 ( 由 关键 字 / 值 对 组 成 ,每 行 一 对 ,通知 服务 器 有 关于 客户 端 
的 功能 和 标识 ,如 客户 端 厂 家 和 版 本 、 客 户 端 可 识别 的 内 容 类 型 列表 、 附 加 到 请 求 的 数据 字 
节 数 等 ) 、 空 行 (发 送 回 车 符 和 退行 ,通知 服务 器 以 下 不 再 有 头 标 ) 以 及 请 求 数据 (使 用 POST 
传送 的 数据 )。 其 后 服务 器 给 客户 端 返回 一 个 响应 消息 ,具体 包括 一 个 状态 行 (包含 HTTP 
版 本 、 响 应 代码 和 响应 描述 ) 、 响 应 头 标 ( 像 请 求 头 标 一 样 ,指出 服务 器 的 功能 ,标识 出 响应 数 
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据 的 细节 )、 空 行 (发 送 回 车 符 和 退行 ,表明 服务 器 以 下 不 再 有 头 标 ) 、 响 应 数据 (HTML 文档 
和 图 像 等 ,也 就 是 HTML 本 身 )。HTTP 消息 是 客户 端 发 向 服务 器 的 请 求 消息 和 服务 器 返 
回 给 客户 端的 响应 消息 的 统称 。 

HTTP 协议 运行 在 传输 控制 协议 ( 即 TCP 协议 ) 基 础 上 ,尽管 TCP 协议 有 网 络 连接 的 
概念 ,HTTP 协议 是 一 种 无 连接 、 无 状态 的 应 用 层 协 议 。HTTP 协议 无 连接 的 含义 是 ,尽管 
HTTP 传递 请 求 需 要 依赖 于 所 建立 的 TCP 连接 ,但 HTTP 约定 每 个 TCP 连接 只 处 理 一 个 
请 求 ,服务 器 处 理 完 客 户 端的 一 个 HTTP 请 求 后 即 断 开 该 连接 ,不 会 出 现 一 个 TCP 连接 上 
传输 多 个 HTTP 请 求 的 情况 。HTTP 协议 的 无 状态 是 指 HTTP 协议 对 于 事务 处 理 没有 记 
忆 能 力 ,每 个 请 求 都 是 独立 的 ,它们 之 间 没 有 逻辑 上 的 依赖 关系 。 

作为 一 种 标准 的 应 用 层 协 议 ,无 论 是 请 求 消 息 还 是 应 答 消 息 都 有 严格 的 定义 (具体 可 见 
RFC2616) ,本 章 的 开发 实践 没有 具体 解析 这 些 消息 并 依据 解析 出 的 内 容 ( 消 息 类 型 等 ) 进 行 
控制 ,读者 可 以 进行 相应 的 扩展 开发 实践 ,自行 参照 HTTP 协议 格式 解析 消息 并 进行 控制 。 


12.1.2 原型 系统 的 逻辑 结构 


原型 系统 采用 多 线程 方式 实现 ,包括 一 个 主线 程 和 若干 子 线程 。 主 线程 每 接收 到 一 个 
代理 请 求 时 ,都 会 创建 一 个 子 线程 ,该 子 线程 将 负责 处 理 该 请 求 所 有 的 操作 。 

主线 程 的 具体 功能 依次 包括 : 

。 解析 出 命令 行 参 数 , 获 得 代理 防火 墙 的 服务 端口 。 

。 创建 套 接 字 接 口 ,然后 监听 (isten) 相 应 的 服务 端口 。 

。 循环 执行 : 接收 (accept) 来 自 客户 端的 代理 请 求 , 并 进行 客户 端的 IP 地 址 检查 。 若 

通过 检查 ,创建 一 个 子 线程 ,将 该 请 求 交 给 该 子 线 程 处 理 。 

子 线程 的 具体 功能 依次 包括 : 
以 参数 的 形式 从 主线 程 中 获得 代理 请 求 对 应 的 套 接 字 ( 下 称 客户 套 接 字 )。 
从 该 套 接 字 中 读 取 (read) 客 户 端 发 来 的 代理 请 求 具体 内 容 。 
从 该 内 容 中 解析 出 客户 端 所 要 请 求 的 HTTP 服务 器 (以 域名 形式 表示 )。 
进行 服务 器 域名 检查 ,如果 检查 不 通过 终止 该 子 线程 , 若 检查 通过 , 则 继续 后 面 的 
处 理 。 
与 远程 的 HTTP 服务 器 ( 即 客户 端 请 求 的 HTTP 服务 器 ) 建 立 SOCKET 连接 ,并 
将 客户 端 发 来 的 请 求 内 容 发 送 到 该 SOCKET 接口 (下 称 服务 套 接 字 ) 。 
一 直 从 服务 套 接 字 接 口中 读 取 来 自 于 远程 HTTP 服务 器 的 响应 ,直至 对 方 关闭 该 
连接 。 对 读 取 到 的 每 个 响应 转发 至 客户 套 接 字 接口 。 


12.1.3 程序 运行 方式 


本 章 开发 的 防火 墙 原型 系统 以 命令 行程 序 的 形式 存在 ,可 以 设置 一 个 参数 ,以 指定 代理 
防火 墙 的 服务 端口 ,具体 的 命令 格式 如 下 : 


./proxy —p port 


其 中 proxy 为 通过 源 代码 编译 出 来 的 代理 防火 墙 原型 系统 可 执行 程序 名 ,port 指定 应 
用 代理 防火 墙 原型 系统 的 服务 端口 。 
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12.2 原型 系统 的 实现 


12.2.1 主要 库 函 数 


在 本 原型 系统 的 开发 实践 中 ,服务 器 IP 地 址 解析 、 线 程 创建 以 及 命令 行 参数 的 解析 需 
调用 相关 的 库 函 数 。 为 便于 理解 下 面 的 开发 实践 ,这 里 先 对 所 涉及 到 的 主要 库 函 数 进 行 简 
单 介绍 。 

1. int pthread_create(pthread t * thread, pthread attr t * attr，void * (* start_routine) 

(void * ) void * arg); 

该 函数 是 POSIX 标准 下 创建 新 线程 的 函数 ,在 调用 时 需要 提供 4 个 参数 ,第 一 个 参数 
为 指向 线程 标识 符 的 指针 ,第 二 个 参数 用 来 设置 线程 属性 ,第 三 个 参数 是 线程 执行 函数 的 起 
始 地 址 ,最 后 一 个 参数 是 线程 执行 函数 的 参数 。 在 实际 使 用 该 函数 创建 线程 时 ,如 果 需 要 将 
多 种 信息 以 参数 的 形式 传递 给 拟 创建 的 新 线程 (实际 上 是 对 应 的 线程 执行 函数 ) ,而 该 线程 
创建 函数 只 能 预 留 一 个 参数 域 ( 即 第 四 个 参数 arg) 用 作 线 程 执 行 函 数 的 参数 传递 ,通常 的 
做 法 是 将 所 有 要 传递 的 信息 封装 在 一 个 结构 体 中 ,将 该 结构 体 指针 作为 线程 创建 函数 的 第 
四 个 实 参 。 调 用 该 函数 ,需要 在 源 程序 中 包含 相应 的 头 文件 pthread. h, 并 在 编译 相应 的 源 
程序 时 ,需要 通过 编译 选项 -lpthread 指明 所 用 到 的 库 文件 。 

在 该 开发 实践 中 ,主线 程 (程序 启动 后 由 操作 系统 默认 创建 ) 将 调用 该 函数 为 每 个 
HTTP 代理 请 求 创建 相应 的 子 线程 ,由 该 子 线程 独立 处 理 完成 该 HTTP 请 求 的 代理 操作 。 


2. struct hostent * gethostbyname(const char * name); 


该 函数 通过 主机 名 来 获得 相应 主机 的 信息 ,通常 用 于 实现 域名 解析 , 即 由 服务 器 域名 解 
析出 服务 器 的 IP 地 址 。 参 数 name 指向 存储 主机 名 的 缓冲 区 。 该 函数 执行 结果 返回 一 
指向 hostent 结构 体 的 指针 ,该 结构 体 在 相应 头 文件 中 定义 如 下 : 


struct hostent { 


char x* h_name; 

char x*x h aliases; 

int h_addrtype; 

int h_length; 

char xx h_addr_list; // 指 向 主机 IP 地 址 列表 


-0 haddr h addr list[0] 

调用 该 函数 后 ,通过 访问 返回 结构 体 的 h_addr_list 域 就 能 获得 所 解析 出 的 主机 IP 地 
址 。 在 本 章 开发 实践 中 ,每 个 子 线程 在 代理 相应 的 网 络 服务 请 求 时 ,需要 调用 该 函数 从 获得 
的 服务 器 域名 中 解析 出 客户 端 所 连接 服务 器 的 IP 地 址 ,以 便于 向 该 服务 器 发 起 TCP 连接 ， 
及 发 送 HTTP 请 求 。 

下 面 开发 实践 中 用 到 命令 行 参 数 获取 、SOCKET 编程 .字符 串 操 作 等 相关 的 库 函 数 ,一 般 
读者 都 比较 熟悉 这 些 库 函 数 ,或 者 有 些 库 函 数 已 在 其 他 开发 实践 中 介绍 过 ,这 里 不 再 袭 述 。 
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12.2.2 头 文件 及 全 局 变量 


1. 头 文件 

该 防火 墙 的 源 代码 实现 用 到 下 面 的 头 文件 ,需要 将 这 些 头 文件 包含 到 源 代 码 中 。 
# include < sys/types.h> // 相 关 的 类 型 定义 头 文件 

# include < sys/socket.h> //SOCKET 操作 相关 的 头 文件 

# include <netinet/in.h> // 网 络 地 址 格式 相关 的 头 文件 

#include <netdb.h> 

# include < string.h> // 字 符 串 操作 相关 的 头 文件 

#include < stdio.h> // 标 准 输入 输出 (如 printf 等 ) 相 关 的 头 文件 

# include < getopt.h> // 标 准 命令 行 参数 处 理 操作 (如 getopt) 相 关 的 头 文件 
# include < pthread.h> // 多 线程 编程 需要 包含 的 头 文件 


2. 全 局 变量 和 预定 义 


# define REMOTE SERVER PORT 80 // 远 程 服 务 器 的 端口 号 , 这 里 默认 为 80 

# define BUF_SIZE 4096 // 每 次 读 取 请 求 和 响应 的 缓冲 区 大 小 

# define QUEUE_SIZE 100 // 监 听 的 最 大 TCP 连接 数目 

并 define BLOCKED_SERVER "bbs. sjtu. edu. cn”/* 所 阻止 访问 的 远程 HTTP 服务 器 的 域名 ,可 自行 设置 * / 

char ALLOWED_CLIENTIP[20] = "192.168.47.8"; // 许 可 访问 的 客户 端 IP 地 址 , 可 自行 设置 

/* 应 用 代理 防火 墙 在 处 理 请 求 时 ,需要 从 服务 器 域名 解析 出 服务 器 的 IP 地 址 ,然后 再 连接 到 目标 服 
务 器 。 域 名 解析 涉及 到 访问 域名 服务 器 , 比较 耗 时 。 理 想 情 况 下 ,应 用 代理 防火 墙 需要 建立 服务 
器 域名 与 IP 地 址 对 的 缓存 ,这样 对 同一 个 服务 器 的 多 次 访问 就 只 需 访问 一 次 远程 域名 服务 器 。 
本 原型 系统 对 此 进行 简化 , 只 设置 一 条 缓存 , 存储 在 全 局 变量 lastservername 和 lastserverip 
中 。 由 于 是 多 线程 处 理 , 需 要 用 信号 量 对 这 两 个 变量 进行 访问 互 斥 保护 * / 

char lastservername[256] = ""; // 缓 存 最 近 一 次 访问 的 服务 器 域名 

int lastserverip = 0; // 缓 冲 最 近 一 次 访问 服务 器 域名 所 对 应 的 IP 地 址 

pthread_mutex_t conp_mutex; // 信 号 量 , 用 于 对 上 述 两 个 变量 进行 互 斥 访问 


12.2.3 函数 功能 与 设计 


该 原型 系统 的 实现 共 包含 如 下 的 六 个 函数 。 

。 主 函数 。 函 数 原型 为 : 

int main(int argc, char *# argv); 

该 函数 首先 解析 出 命令 行 参 数 中 的 应 用 代理 防火 墙 服务 端口 ,然后 创建 相应 的 套 接 
字 接 口 ,利用 该 套 接 字 监 听 该 服务 端口 ; 循环 接收 (accept) 来 自 客户 端的 连接 请 求 ， 
调用 函数 checkclient() 进 行 客户 端 IP 地 址 检查 ,对 通过 检查 的 请 求 ,创建 子 线 程 处 
理 该 连接 请 求 。 

客户 端 检查 函数 。 函 数 原型 为 : 

int checkclient(in addr t cli addr); 

该 函数 实现 客户 端 IP 地 址 的 检查 , 即将 参数 cli_addr 的 内 容 与 全 局 变量 
ALLOWED_CLIENTIP 进行 比 对 , 若 二 者 一 致 , 则 检查 通过 ,返回 1, 否则 返回 一 1。 
子 线程 函数 。 函 数 原 型 为 : 


void dealonereq(void *arg); 
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该 函数 为 子 线程 的 主体 函数 ,用 于 处 理 单个 HTTP 代理 请 求 。 该 函数 的 具体 功能 
为 : 四 从 参数 中 获得 请 求 对 应 的 套 接 字 ( 即 客户 套 接 字 ) ,从 该 套 接 字 中 读 取 请 求 的 
具体 内 容 , 调 用 函数 gethostname() 提 取 所 要 连接 远程 HTTP 服务 器 的 域名 ; @ 调 
用 函数 checkserver( ) 检查 是 否 允 许 该 请 求 ,对 检查 通过 的 请 求 , 调 用 函数 
connectserver() 连 接 远 程 HTTP 服务 器 ,获得 对 应 的 套 接 字 接 口 ( 即 服 务 套 接 字 )， 
并 将 请 求 的 具体 内 容 发 送 至 服务 套 接 字 接 口 ; @ 从 服务 套 接 字 中 读 取 请 求 响应 的 
内 容 , 并 将 该 响应 内 容 写 到 客户 套 接 字 中 。 

服务 器 检查 函数 。 函 数 原型 为 : 


int checkserver(char * hostname); 


该 函数 实现 服务 器 域名 的 检查 ,即将 参数 hostname 的 内 容 与 预定 义 BLOCKED_ 
SERVER 进行 比 对 , 若 二 者 一 致 , 则 检查 不 通过 ,返回 一 1, 和 否则 通过 ,返回 0。 
服务 器 域名 提取 函数 。 函 数 原型 为 : 


int gethostname(char * buf,char * hostname, int length); 


该 函数 从 参数 buf 指向 的 缓冲 区 (该 缓冲 区 的 内 容 即 为 从 客户 端 获 取 的 请 求 内 容 ) 
中 提取 所 要 连接 服务 器 的 域名 ,然后 将 该 域名 保存 在 参数 hostname 指向 的 缓冲 区 
中 ,length 表示 buf 指向 缓冲 区 的 长 度 。 

连接 服务 器 函数 。 函 数 原型 为 : 


int connectserver(char * hostname); 


该 函数 连接 参数 hostname 指向 的 服务 器 ,并 将 对 应 的 套 接 字 接口 作为 函数 返回 值 。 
由 于 参数 hostname 指向 的 服务 器 是 以 域名 表示 的 ,在 连接 服务 器 时 ,需要 首先 调用 
库 函 数 gethostbyname() 获 得 服务 器 对 应 的 IP 地 址 。 

这 些 函 数 间 的 调用 关系 如 图 12-1 所 示 。 


““ 主 函 数 。 | 创建 子 线程 | 子 线程 记 数 
main dealonereq 
客户 端 检 查 函 数 连接 服务 凯 商 数 
checkclient connectserver 


1 + 
服务 党 检查 函数 | | 版 务 岩 名 提取 函数 
checkserver gethostname 
图 12-1 应 用 代理 防火 墙 实现 函数 间 的 调用 关系 
12.2.4 主线 程 实现 


1. 主 函 数 的 源 代码 实现 


int main( int argc, char xx argv){ 
short port = 0; // 用 于 保存 用 户 在 命令 行 中 输入 的 服务 端口 
char opt; // 用 于 保存 函数 getopt 分 析出 的 选项 标识 
struct sockaddr in cl addr, proxyserver addr; // 用 于 保存 客户 端 和 本 代理 防火 墙 的 地 址 
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socklen t sin size = sizeof(struct sockaddr in) ; 

int sockfd, accept sockfd, on = 1; 

pthread t Clitid; // 定 义 线程 变量 

while( (opt = getopt(argc, argv, "p:")) != EOF) {// 逐 个 获取 每 个 命令 行 选项 
switch(opt) { 


case 'p': //-p 指 明 端口 参数 
port = (short) atoi(optarg); // 将 数字 字符 串 转化 为 整数 
break; 

default: // 出 现 了 不 认识 的 参数 


printf("Usage: %s -pport\n", argv[0]); // 输 出 正确 的 程序 执行 方式 
return 一 17 
} 
§ 


if (port == 0){ // 用 户 输入 的 服务 端口 是 无 效 的 
printf("Invalid port number, try again. \n"); 
printf("Usage: %s -pport\n", argv[0]); // 输 出 正确 的 程序 执行 方式 


return —1; 
} 
sockfd = socket(RF_INET，SOCK_STRERM，IPPROTO_TCP); 。”// 创 建 一 个 TCP 协议 套 接 字 
if (sockfd < 0) { 
printf("Socket failed... Abort. \n"); 
return -1; 
memset(&proxyserver_addr，0，sizeof(proxyserver_addr) );// 清 空 该 地 址 结构 
proxyserver addr. sin family = AF_INET; // 指 明 是 internet 的 地 址 簇 
proxyserver_addr. sin_addr. s_addr = htonl(INADDR_ANY); /* 设置 所 绑 定 的 IP 地 址 为 


INADDR_ANY, INADDR_ANY 表示 本 主机 的 也 地 址 ,函数 htonl 将 瑟 地 址 由 主机 字 节 序 转变 为 网 络 字 节 序 * / 


proxyserver_addr. sin_port = htons(port); /* 设 置 服务 端口 ,函数 htons 将 端口 号 由 主机 
字 节 序 转变 为 网 络 字 节 序 * / 
setsockopt( sockfd, SOL_SOCKET, SO_REUSEADDR, (char * ) &on, sizeof(on)); /* 设置 套 接 字 
选项 * / 
if (bind(sockfd, (struct sockaddr * ) &proxyserver_addr，sizeof(proxyserver_addr)) < 0) 
{ /* 绑 定 地 址 * / 
printf("Bind failed... Abort … \n"); // 绑 定 失败 ,提示 错误 
return 一 1; 
证 (listen(sockfd，QUEUE_SIZE) < 0) { /* 监 听 该 套 接 字 , 参 数 QUEUE_SIZE 指明 了 监听 队列 


的 最 大 长 度 * / 
printf("Listen failed... Abort \n"); 
return 一 17 
while (1) { 


accept_sockfd = accept(sockfd, (struct sockaddr * )&cl_addr，&sin_size); /* 接 收 


监听 到 的 连接 请 求 * / 


if (accept sockfd < 0) { 
printf("accept failed"); 
continue; 
} 
printf("Received a request from % s:%u\n",inet ntoa(cl addr. sin addr. s_addr ), 
ntohs(cl_addr. sin_port)); // 输 出 请 求 信息 
证 (checkclient(cl addr. sin addr.s_addr) == 1){  // 进 行 客户 端 IP 地 址 检查 
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/* 检查 通过 ,创建 子 线程 处 理 所 接收 的 请 求 , 将 该 请 求 对 应 的 客户 套 接 字 accept_ 
sockfd 以 参数 形式 传递 给 子 线程 x*/ 
pthread create(&Clitid, NULL, (void * )dealonereq, (voidx )accept_sockfd); 
} 
else 
close(accept_sockfd) ;// 检 查 不 通过 ,关闭 该 连接 ,相当 于 拒绝 了 该 请 求 
} 
return 0; 


2. 客户 端 检查 函数 


int checkclient(in addr tcli addr) { 
int allowedip; // 保 存 莫 地 址 的 32 位 整数 变量 
inet_aton(ALLOWED_CLIENTIP, &allowedip); /* 函数 inet_aton 将 点 分 十 进 制 表 示 的 IP 地 址 
格式 (如 “192.168.47.183”) 转 化 为 32 位 整数 


表示 的 IP 地 址 格式 */ 
if (allowedip != cli addr){ // 比 较 IP 地 址 
printf("Client IP authentication failed !\n "); 
return -1; // 与 允许 的 客户 端 IP 地 址 不 符 ,返回 -1 
3 
return 1; // 返 回 检 查 通过 
} 
12.2.5 子 线 程 实现 
1. 子 线程 函数 的 实现 
void dealonereq(void *arg){ 
char buf[BUF_SIZE]; // 该 缓冲 区 用 于 保存 客户 端 发 来 的 请 求 消息 正文 
int bytes; // 用 于 保存 客户 端 发 来 的 请 求 消息 正文 的 长 度 
char recvbuf[ BUF_SIZE]; // 用 于 保存 服务 器 发 来 的 响应 消息 正文 
char hostname[ 256]; // 保 存 所 请 求 服务 器 的 域名 
int remotesocket; // 保 存 与 服务 器 连接 的 套 接 字 
int accept_sockfd; // 保 存 与 客户 端 连接 的 套 接 字 


accept_sockfd = (int)arg; // 从 函数 参数 中 获得 与 客户 端 连接 的 套 接 字 
pthread_detach(pthread_self()); // 属 性 设置 ,结束 运行 时 自行 释放 所 占用 的 内 存 资源 
bzero(buf, BUF_SIZE) ; // 清 空 缓冲 区 
bzero( recvbuf, BUF_SIZE); // 清 空 缓冲 区 
bytes = read(accept_sockfd,，buf，BUF_SIZE);// 读 请 求 消息 正文 至 参数 buf 指向 的 缓冲 区 
if (bytes <= 0){ 

close(accept_sockfd); 


return; // 无 效 的 请 求 消息 , 子 线程 直接 退出 
} 
gethostname( buf, hostname, bytes); /x* 从 请 求 消息 正文 中 提取 所 请 求 的 服务 器 域 
名 至 参数 hostnamne * / 
if (sizeof(hostname) == 0){ // 检 查 所 请 求 服务 器 域名 的 有 效 性 


printf("Invalid host name"); 
close(accept_sockfd); 
return; 

} 

if (checkserver(hostname) == —1){ 
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} 


close(accept sockfd); 


return; // 不 允许 向 该 服务 器 发 HTTP 请 求 , 直接 退出 
} 
remotesocket = connectserver(hostname);// 连 接 参 数 hostname 指向 的 服务 器 
if (remotesocket == 一 1){ 
close(accept sockfd); 
return; // 连 接 不 成 功 
} 
send(remotesocket，buf，bytes,0); // 将 请 求 消息 正文 转发 至 服务 套 接 字 接 口 
while(1){ // 响 应 的 消息 正文 可 能 很 长 ,循环 多 次 进行 读 取 和 转发 
int readSizeOnce = 0; // 初 始 化 所 读 取 的 响应 长 度 
readSizeOnce = read(remotesocket, recvbuf, BUF_SIZE); /x* 读 取 服 务 器 对 所 请 求 消 
息 的 响应 内 容 * / 


if (readSizeOnce <= 0) 
break; ”// 读 取 的 消息 无 效 , 或 服务 器 已 发 送 完 响应 内 容 而 关闭 了 该 连接 
send(accept_sockfd，,，recvbuf, readSizeOnce,0); /* 将 从 服务 器 接收 到 的 响应 内 容 转 


发 到 客户 套 接 字 接口 , 从 而 转发 
给 客户 端 */ 

} 

// 该 次 请 求 的 代理 处 理 结束 ,关闭 两 个 套 接 字 ,然后 退出 

close( remotesocket); // 关 闭 与 服务 器 的 TCP 连接 

close(accept_sockfd); // 关 闭 与 客户 端的 TCP 连接 


2. 服务 器 域名 提取 函数 


int gethostname(char * buf,char x hostname，int length) { /* 该 函数 从 客户 端 发 来 的 请 求 消息 
( 即 参数 buf 指向 的 缓冲 区 ) 中 提取 出 所 请 求 服务 器 的 域名 .在 请 求 消息 中 ,所 请 求 服务 器 域名 的 内 容 
类 型 为 “Host” 或 “host”, 即 跟 在 “Host: ”或 “host: "后面 的 内 容 就 是 所 请 求 服务 器 的 域名 ,域名 部 分 
的 结束 标志 为 回 车 符号 , 即 '\r' * / 


char *p; // 用 于 保存 查找 位 置 的 字符 指针 
int i,j = 0; // 循 环 变量 
bzero(hostname, 256); // 清 空 缓冲 区 


// 首 先 将 p 定位 到 “Host:” 或 “host:” 的 开始 位 置 
p= strstr(buf,"Host: "); // 函 数 strstr() 用 于 在 缓冲 区 buf 中 查找 子 串 "Host:" 的 位 置 
if(!p) 

p = strstr(buf,"host: "); // 再 用 "host:" 进 行 匹配 
i = (p-buf) + 6; /* 将 二 定位 为 域名 开始 位 置 的 下 标 , (p- buf) 为 "Host: "或 "host: "在 缓冲 
区 中 的 开始 位 置 , 跳 过 6( 即 "host: "和 "Host: "的 长 度 ,注意 后 面 有 一 空格 ), 即 为 域名 在 缓冲 区 


中 开始 位 置 的 下 标 * / 
for( j = 0; i<length; i++, j++){ 
if(buf[i] == "\r'){ // 检 测 域名 结束 标志 , 即 回 车 符号 '\r' 
hostname[j] = '\0'; ”// 给 hostname 置 上 字符 串 结束 标志 '\0' 
return 0; // 成 功 , 直接 返回 
else 


hostname[j] = buf[i]; // 将 域名 的 每 个 字符 逐个 复制 到 hostname 中 
} 
return —1; // 失 败 ,返回 -1 
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3. 服务 器 检查 函数 
int checkserver(char * hostname){ // 参 数 hostname 为 待 检查 服务 器 的 域名 


证 (strstr(hostname，BLOCKED SERVER) != NULL) { /x* 匹配 成 功 ,说 明 该 服务 器 为 要 阻止 连接 


的 服务 器 * / 
printf("Destination blocked! \n"); 
return -1; 
} 
return 0; // 检 查 通过 ,返回 0 
} 
4. 服务 器 连接 函数 
int connectserver(char * hostname){ 
int cnt_stat; // 保 存 connect 函数 的 返回 值 ,表示 连接 服务 器 是 否 成 功 
struct hostent * hostinfo; // 指 向 gethostbyname 的 返回 指针 
struct sockaddr_in server_addr; // 保 存 服 务 器 的 地 址 
int remotesocket; // 连 接 服务 器 的 套 接 字 接口 


remotesocket = socket(PF_INET，SOCK_STRERM，IPPROTO_TCP) ;// 创 建 TCP 套 接 字 
if (remotesocket < 0) { 
printf("can not create socket! \n"); // 创 建 失败 
return -1; 
} 
memset(&server_addr, 0，sizeof(server_addr)); // 清 空地 址 结构 
server addr. sin family = AF_INET; // 设 置 为 internet 地 址 簇 ( 即 AF_INET) 
server_addr. sin port = htons(REMOTE SERVER_PORT); /* 将 要 连接 的 服务 器 端口 设置 为 默 
认 的 端口 (以 网 络 地 址 序 ) * / 
pthread_mutex_lock(&conp_mutex); /* 多 线程 环境 下 ,对 全 局 变量 lastservername 和 
lastserverip 访问 需要 进行 加 锁 处 理 * / 
if (strcmp(lastservername, hostname) != 0){ /* 该 服务 器 域名 与 已 缓存 IP 地 址 的 服务 
器 域名 不 一 致 ,表明 该 服务 器 的 IP 地 址 不 在 缓存 中 ,需要 重新 解析 域名 */ 


hostinfo = gethostbyname(hostname); // 获 得 服务 器 的 主机 信息 
if (!hostinfo) { // 获 取 主 机 信息 不 成 功 
printf("gethostbyname failed! \n"); 
return 一 1; 
} 
strcpy( lastservername, hostname); // 更 新 所 缓存 的 服务 器 域名 


lastserverip = *(int * )hostinfo->h addr; // 更 新 所 缓存 的 IP 地 址 
server_addr. sin addr.s_addr = lastserverip; // 将 服务 器 IP 地 址 写 信 地址 结构 
i 
else 
server_addr. sin addr.s_addr = lastserverip; /* 为 刚 访问 过 的 服务 器 ,无 需 再 进行 域 
名 解析 ,直接 使 用 缓存 (lastserverip) 中 的 地 址 即 可 * / 


pthread_mutex_unlock(&conp_mutex) ; // 对 全 局 变量 访问 结束 ,解锁 

cnt_stat = connect(remotesocket, (struct sockaddr * )&server addr, sizeof(server addr)); 
/* 与 服务 器 建立 SOCKET 连接 * / 

if (cnt_stat < 0) { // 连 接 建 立 失败 


printf("remote connect failed! \n"); 
close(remotesocket); /* 无 法 为 客户 端 提供 代理 服务 (或 许 服务 器 已 关闭 ), 关闭 与 客 
户 端的 连接 * / 


return 一 17 
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else 
printf("connected remote server ———-——-———--——-—-—-——-———— >%s:%u.\n", inet_ntoa 
(server addr. sin_addr. s_addr),ntohs(server_addr. sin port)); // 输 出 连接 服务 器 成 
功 的 提示 
return remotesocket; // 返 回 连接 服务 器 的 套 接 字 


12.3 编译 .运行 与 测试 


在 完成 12. 2 节 的 原型 系统 源 代 码 编程 后 ,就 可 对 该 原型 系统 进行 测试 ,在 运行 测试 之 
前 需 将 源 代 码 编译 成 可 执行 程序 。 


12.3.1 编译 和 运行 


在 上 面 的 编程 实现 中 用 到 了 多 线程 ,因此 在 编译 该 原型 系统 时 需要 用 到 线程 库 。 启 动 
Linux 操作 系统 ,开启 一 个 终端 窗口 ,在 命令 行 模式 下 输入 如 下 命令 , 即 可 完成 应 用 代理 防 
火 墙 原型 系统 的 编译 。 

gcc 一 o proxy proxy.c -lpthread 

其 中 proxy. c 为 保存 12. 2 节 源 代码 的 源 文件 ,proxy 是 希望 编译 出 的 可 执行 文件 名 ， 
-lpthread 指明 所 使 用 的 函数 库 , 即 线程 库 。 编 译 完 成 后 ,在 当前 目录 下 就 可 生成 可 执行 文 
件 proxy。 

在 命令 行 终端 下 输入 如 下 命令 ,就 可 启动 所 实现 的 应 用 代理 防火 墙 原 型 系统 。 

. /proxy -p 8888 


这 里 的 -p 选项 指明 了 原型 系统 的 服务 端口 , 即 该 原型 系统 通过 该 端口 接收 来 自 客户 端 
的 代理 请 求 。 这 里 将 端口 号 设置 为 8888, 用 户 可 自行 设 定 。 


12.3.2 测试 环境 设置 


在 进行 原型 系统 的 功能 测试 前 ,需要 进行 测试 相关 的 软件 环境 设置 。 

1. Linux 内 置 防火 墙 的 设置 

Linux 系统 在 安装 时 可 能 默认 安装 了 Linux 内 置 防火 墙 ,Linux 系统 运行 过 程 中 该 防 
火 墙 默认 处 于 启用 状态 , 且 只 打开 很 少 的 服务 端口 。 如 果 不 进行 相应 设置 ,该 防火 墙 可 能 阻 
断 本 章 的 应 用 代理 防火 墙 服务 端口 ,客户 端的 代理 请 求 在 Linux 内 核 可 能 就 已 经 被 Linux 
内 置 防火 墙 拦截 和 过 滤 。 为 了 测试 本 章 的 应 用 代理 防火 墙 原型 系统 ,需要 禁用 Linux 内 置 
防火 墙 ,或 者 在 Linux 内 置 防火 墙 中 开放 应 用 代理 防火 墙 的 服务 端口 (如 8888) ,具体 方法 
参见 5. 3.4 节 。 

2. 客户 端的 浏览 器 设置 

本 章 开 发 的 应 用 代理 防火 墙 原型 系统 与 第 13 章 开 发 的 透明 代理 防火 墙 存 在 本 质 区 别 ， 
该 原型 系统 对 用 户 非 透明 ,因而 客户 端 在 使 用 该 原型 系统 前 ,需要 在 浏览 器 中 设置 代理 服 
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务 器 。 

假定 客户 端的 浏览 器 为 正 ,设置 代理 服务 器 的 具体 步骤 为 : 启动 浏览 器 ,在 浏览 器 的 菜 
单 中 选择 “工具 ”>“Internet 选项 ”, 在 弹出 的 对 话 框 中 单 击 “ 连 接 ”Tab 页 ,如 图 12-2( 左 ) 所 
示 。 单 击 “ 局 域 网 设置 ”, 就 可 以 配置 代理 服务 器 的 IP 地 址 和 端口 。 图 12-2( 右 ) 中 所 示 的 代 
理 服 务 器 IP 地 址 即 为 运行 本 应 用 代理 防火 墙 原型 系统 的 主机 IP 地 址 (这 里 假定 为 
192. 168. 47. 183) ,而 端口 即 为 本 应 用 代理 防火 墙 原型 系统 的 服务 端口 (这 里 为 8888) 。 


Tnternat 选项 区 国 EF 区 区 | 
| 党 规 | 安全 | 隐私 | 内 容 | 连接 [程序 “| 高 组 


设置 一 个 Internst 连接 , 单 击 " 设 。[ 池 本 ) 自动 配置 
ha 自动 置 会 各 苦 手 动 设置 。 要 确保 使 用 手动 设置 ， 请 茜 用 自动 也 
撕 号 和 虚拟 专用 网 络 设置 oO) 午 . 
lc 口 全 用 自动 可 置 基本 (3) 
人 单 击 “ 设 
不 论 网 还 报 是 天 在 从 再 服务 器 


i 找 默 认 连 所 


些 区 
回力 人 江 些 设置 不 会 应 用 于 拨号 或 


地 址 巴 ): |192. 168. 47. 183| 端口 r): [6868 


局 城 网 CMW) 设 置 
于 让 Te 口 对 于 本 地 地 址 不 使 用 代理 服务 器 四) 


到 是 “] [ 取 油 


图 12-2 IE 中 的 代理 服务 器 设置 


12.3.3 测试 过 程 


进行 相关 的 软件 设置 后 ,就 可 以 进行 本 应 用 代理 防火 墙 原 型 系统 的 功能 测试 。 在 客户 
端 中 开启 下 浏览 器 ,在 地 址 栏 输入 *http://www. sjtu. edu. cn”, 就 可 以 看 到 浏览 器 中 显示 
出 上 海 交通 大 学 的 主页 面 ( 这 里 假定 客户 端 IP 地 址 为 192. 168. 47. 8) 。 

同时 在 本 应 用 代理 防火 墙 原 型 系统 的 运行 终端 可 以 看 到 一 些 相 应 的 输出 信息 ,如 
图 12-3 所 示 。 


root@IDServer:~/proxy 加 | 回民 


文件 介 编 旬 EE) A 终端 (标签 @) 帮助 册 


[rootelDServer gcc ~o proxy proxy.c -lpthread 
es 


图 12-3 应 用 代理 防火 墙 的 代理 服务 信息 


在 客户 端 浏览 器 的 地 址 栏 中 输入 “http://bbs. sjtu. edu. cn”, 由 于 在 源 程序 中 禁止 连接 
的 服务 器 域名 (由 BLOCKED_SERVER 指定 ) 预 定义 为 bbs. sjtu. edu. cn, 该 代理 连接 将 会 
被 拒绝 。 同 时 在 应 用 代理 防火 墙 原型 系统 的 运行 终端 可 以 看 到 代理 服务 拒绝 的 输出 信息 ， 
如 图 12-4 所 示 。 
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图 12-4 应 用 代理 防火 墙 的 代理 服务 拒绝 信息 


12.4 扩展 开发 实践 


本 章 实 现 了 一 个 应 用 代理 防火 墙 的 原型 系统 ,该 原型 系统 的 功能 比较 简单 ,只 能 代理 一 
些 HTTP 网 页 , 且 控 制 功能 非常 简单 ,也 没有 引入 很 好 的 缓存 机 制 来 提高 性 能 等 。 有 兴趣 
的 读者 可 以 现 有 的 防火 墙 原型 系统 为 基础 ,完成 下 面 的 扩展 开发 实践 。 


12.4.1 应 用 代理 防火 墙 的 控制 功能 扩展 


本 章 实现 的 应 用 代理 防火 墙 原型 系统 ,其 网 络 控制 功能 非常 有 限 , 具 体 表 现在 以 下 几 个 
方面 : 

。 控 制 规则 简单 ,只 能 依据 客户 端 IP 地 址 和 服务 器 域名 来 控制 是 否 允 许 使 用 代理 服 
务 , 不 能 依据 其 他 要 素 进行 控制 。 实 际 上 与 包 过 滤 防 火 墙 相 比 ,应 用 代理 防火 墙 的 
最 大 优点 是 能 够 实现 高 层 语义 级 的 安全 控制 ,相应 的 高 层 语义 级 信息 可 通过 应 用 层 
的 协议 数据 分 析 获 得 ,进而 实现 相应 的 安全 控制 。 
以 单个 简单 变量 而 不 是 一 张 表 (或 一 个 配置 文件 ) 来 存储 允许 访问 的 客户 端 IP 地 址 
和 拒绝 访问 的 服务 器 域名 ,不 能 设置 多 个 客户 端 IP 地 址 和 服务 器 域名 。 显 然 ,这 对 
实用 的 应 用 代理 防火 墙 而 言 是 不 合适 的 ,应 用 代理 防火 墙 需要 同时 为 多 个 客户 端 提 
供 代理 服务 ,而 且 也 要 支持 单个 客户 端 同 时 访问 多 个 服务 器 。 
无 法 实现 控制 规则 的 动态 设置 。 由 于 控制 信息 ( 即 许可 的 客户 端 和 禁止 的 服务 器 ) 
在 源 程序 中 以 预定 义 的 方式 出 现 ,因此 本 防火 墙 原型 系统 无 法 在 系统 运行 过 程 中 动 
态 修改 控制 信息 。 在 本 原型 系统 中 要 修改 控制 信息 比较 繁琐 ,需要 修改 源 程序 中 的 
预定 义 ,然后 重新 编译 和 运行 ,所 进行 的 控制 信息 修改 才能 生效 。 

针对 上 述 几 个 方面 的 问题 ,在 本 防火 墙 原型 系统 基础 上 ,可 进行 如 下 的 控制 功能 扩展 。 

1. 访问 控制 规则 要 素 的 扩展 

支持 基于 HTTP 协议 信息 的 访问 控制 ,具体 主要 有 如 下 两 类 : 

基于 用 户 名 和 口令 的 身份 认证 。 其 基本 思路 是 ,应 用 代理 防火 墙 在 收 到 代理 请 求 后 ,并 
不 立即 连接 所 请 求 的 服务 器 ,而 是 回复 一 个 需要 进行 身份 认证 的 消息 给 客户 端 ,客户 端的 浏 
览 器 (IE 等 ) 在 收 到 该 消息 后 ,会 弹出 一 个 用 户 认证 对 话 框 。 如 上 海 交 通 大 学 的 代理 服务 器 
在 提供 HTTP 代理 服务 时 ,就 要 求 用 户 提交 用 户 名 和 口令 ,这 时 客户 端 就 会 弹出 如 图 12-5 
所 示 的 对 话 框 。 浏 览 器 在 获得 用 户 输入 的 用 户 名 和 口令 后 ,会 将 之 封装 成 一 个 HTTP 消息 
传递 给 应 用 代理 防火 墙 ,应 用 代理 防火 墙 通过 用 户 名 和 口令 来 验证 用 户 身份 ,再 确定 是 否 提 
供 代理 服务 。 关 于 认证 消息 的 格式 等 ,在 进行 该 扩展 实践 时 可 以 参看 HTTP 的 协议 规范 。 
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基于 HTTP 消息 内 容 的 控制 。HTTP 消息 包括 浏览 器 发 向 服务 器 的 请 求 消息 和 服务 
器 发 向 浏览 器 的 响应 消息 。 请 求 消息 比较 简单 ,请 求 方法 


常用 的 有 GET、HEAD、POST, 可 以 依据 不 同 的 请 求 方法 

进行 控制 ,也 可 以 实现 对 URL 的 过 滤 和 控制 。 响 应 消息 中 

对 网 络 安全 影响 较 大 的 要 素 是 响应 的 实体 类 型 ,可 以 据 此 | 3 全 计生 

进行 访问 控制 ,如 禁止 下 载 applet .禁止 下 载 word 文件 等 。 | 喇 洛 秆 于 
2. 控制 信息 的 配置 保存 及 动态 更 新 扩展 QQ 
具体 内 容 包括 : 实现 一 个 友好 的 控制 信息 配置 界面 PY 

(或 配置 程序 ) ,可 通过 该 配置 界面 实现 对 应 用 代理 防火 墙 


控制 规则 的 配置 @ 实 用 的 防火 墙 系统 需要 能 够 配置 多 条 
控制 规则 ,而 不 能 像 本 章 原 型 系统 中 只 能 对 一 个 客户 端 和 图 12-5 浏览 器 的 用 户 认证 信息 
一 个 服务 器 进行 控制 ,因此 可 实现 配置 信息 的 文件 (或 数据 输入 对 话 要 

库 ) 保 存 , 这 样 管理 员 不 用 每 次 全 新 配置 控制 规则 ,只 需要 在 原 有 的 控制 规则 上 进行 适当 修 
改 即 可 ; 图 实现 防火 墙 的 动态 配置 更 新 , 即 配置 防火 墙 规则 时 ,无 需 暂 停 或 终止 防火 墙 的 运 
行 ,只 需 在 配置 完成 之 后 进行 激活 处 理 ,防火 墙 就 能 依据 新 配置 的 控制 规则 进行 网 络 连接 
控制 。 


12.4.2 应 用 代理 防火 墙 的 缓存 机 制 支持 


本 章 的 防火 墙 原型 系统 实现 的 缓存 机 制 非常 简单 ,只 是 对 解析 出 的 服务 器 IP 地 址 进行 
缓存 , 且 只 保存 了 一 条 记录 。 如 果 客户 端 一 直 在 访问 同一 个 服务 器 上 的 网 页 ,应 用 代理 防火 
墙 只 需 在 第 一 次 访问 该 服务 器 时 ,通过 DNS 解析 出 该 服务 器 的 IP 地 址 ,以 后 的 网 页 请 求 就 
不 再 需要 解析 该 服务 器 的 IP 地 址 ,直接 使 用 已 经 解析 出 的 服务 器 IP 地 址 即 可 。 如 果 客 户 
端 交替 访问 多 个 服务 器 ,而 系统 中 只 缓存 最 近 访问 到 的 一 个 服务 器 的 IP 地 址 ,同样 需要 频 
繁 访问 DNS 服务 器 去 解析 相应 服务 器 的 IP 地 址 。 因 此 ,需要 对 服务 器 的 IP 地 址 缓存 进行 
扩展 ,使 之 能 够 缓存 以 往 一 段 时 间 内 访问 过 的 所 有 服务 器 的 IP 地 址 。 需 要 注意 的 是 ,在 多 
线程 环境 下 访问 保存 服务 器 IP 地 址 的 缓冲 区 时 ,需要 进行 互 斥 保护 。 

服务 器 IP 地 址 缓存 能 够 明显 提高 应 用 代理 防火 墙 的 效率 。 实 际 上 , 除 对 服务 器 IP 地 
址 进行 缓存 外 ,还 可 以 对 服务 器 的 响应 消息 进行 缓存 。 如 果 客 户 端 对 同一 个 URL 进行 多 
次 访问 ,应 用 代理 防火 墙 可 以 在 第 一 次 对 该 URL 所 对 应 服务 器 进行 请 求 及 获得 响应 消息 
后 ,将 该 响应 消息 缓存 在 本 地 ,以 后 再 收 到 客户 端 对 该 URL 的 请 求 时 ,无 需 再 访问 远程 服 
务 器 ,直接 将 缓存 中 的 响应 消息 回复 给 客户 端 即 可 。 在 客户 端 频 繁 访问 同一 个 服务 器 时 , 响 
应 消息 的 缓存 机 制 会 极 大 提高 应 用 代理 防火 墙 的 运行 效率 ,一 般 产 品 化 的 代理 防火 墙 都 支 
持 这 样 的 缓存 功能 。 


12.4.3 应 用 代理 防火 墙 的 消息 变换 功能 扩展 


一 些 企 事业 单位 使 用 的 应 用 代理 防火 墙 具 有 消息 变换 的 功能 ,应 用 代理 防火 墙 中 的 消 
息 变换 一 般 分 为 如 下 两 种 形式 : 

。 请 求 消息 的 变换 ” 即 应 用 代理 防火 墙 为 了 某 种 应 用 目的 ,修改 来 自 客户 端的 请 求 消 

息 ,将 修改 后 的 请 求 消息 发 给 所 请 求 的 服务 器 。 最 常见 和 常用 的 修改 方式 是 URL 
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重 定向 , 即 自 改 客户 端 请 求 的 URL, 相 当 于 将 客户 端的 请 求 重 定向 到 新 的 URL。 

”响应 消息 的 变换 ”即将 服务 器 返回 的 响应 消息 按照 某 种 约定 进行 修改 ,将 修改 后 的 
响应 消息 返回 给 客户 端 。 这 种 消息 变换 功能 的 典型 应 用 是 网 页 广告 的 植 入 , 即 修改 
服务 器 返回 的 HTML 文件 等 ,在 其 中 的 相应 位 置 插入 广告 (如 企业 的 商标 、 产 品 
logo、 网 站 链接 等 ) 等 相关 显示 标签 ,然后 将 修改 后 的 HTML 文件 返回 给 客户 端 。 
客户 端的 浏览 器 按 修改 后 的 网 页 文件 显示 网 页 时 , 植 入 的 广告 就 会 显示 在 网 页 中 的 
相应 位 置 。 

读者 可 根据 兴趣 或 实际 需求 ,在 本 原型 系统 中 扩展 实现 上 述 的 消息 变换 功能 。 


12.4.4 应 用 代理 防火 墙 的 审计 功能 扩展 


实用 的 应 用 代理 防火 墙 通常 应 具有 完善 的 日 志 功 能 ,日 志 功 能 是 安全 管理 的 重要 内 容 ， 
产品 化 的 防火 墙 多 数 都 基于 所 记录 的 日 志 信息 实现 了 功能 强大 的 审计 功能 。 另 外 防火 墙 的 
日 志 数 据 可 能 是 其 他 相关 安全 技术 实施 的 基础 ,如 一 些 攻击 检测 系统 需要 依赖 防火 墙 的 日 
志 信 息 才 能 正常 运行 。 本 章 实现 的 应 用 代理 防火 墙 原 型 系统 在 实现 过 程 中 没有 考虑 对 日 志 
功能 的 支持 ,更 没有 考虑 基于 日 志 信 息 的 审计 功能 。 

本 扩展 开发 实践 的 主要 内 容 包含 三 方面 : 对 所 代理 的 应 用 连接 (包括 拒绝 的 网 络 连接 ) 
的 相关 信息 进行 详细 的 记录 ; 设计 和 实现 相应 的 日 志 管理 工具 ,完成 日 志 数 据 的 浏览 查询 
等 功能 ; 实现 对 日 志 信息 的 初步 分 析 , 对 可 疑 连接 提醒 管理 员 等 。 


12.4.5 应 用 代理 防火 墙 的 FTP 支持 扩展 


本 章 开发 的 应 用 代理 防火 墙 原型 系统 只 能 对 HTTP 应 用 进行 代理 ,对 其 他 的 网 络 应 用 
(如 FTP、EMAIL 等 ) 不 能 提供 代理 支持 。 本 节 首 先 简单 介绍 FTP 的 特点 ,然后 介绍 在 本 
原型 系统 基础 上 对 FTP 应 用 的 扩展 支持 。 
FTP 协议 (File Transfer Protocol) 即 远程 文件 传输 协议 ,是 建立 在 TCP 协议 上 的 一 种 
网 络 应 用 层 协议 。 采 用 FTP 协议 可 使 Internet 用 户 高 效 地 从 网 上 的 FTP 服务 器 下 载 大 信 
息 量 的 数据 文件 ,将 远程 主机 上 的 文件 复制 到 自己 的 计算 机 上 ,以 达到 资源 共享 和 传递 信息 
的 目的 。 与 HTTP 协议 相 比 ,FTP 协议 相对 比较 复杂 ,不 像 HTTP 协议 一 样 只 需要 一 个 服 
务 端 口 建立 连接 (默认 的 HTTP 端口 号 是 80) 。FTP 的 文件 传输 过 程 伴随 两 个 TCP 连接， 
一 个 是 控制 连接 , 另 一 个 是 数据 传输 连接 。 因 此 ,FTP 协议 需要 两 个 端口 ,一 个 端口 是 作为 
控制 连接 端口 ,端口 号 通常 为 21, 用 于 发 送 指令 给 服务 器 以 及 等 待 服务 器 响应 ,另外 一 个 端 
口 是 作 为 数据 传输 端口 ,用 来 建立 数据 传输 通道 ,主要 作用 是 客户 端 向 服务 器 上 传 文件 或 目 
录 列 表 ,或 者 从 服务 器 下 载 文 件 或 目录 列表 到 客户 端 。 
通常 FTP 协议 支持 两 种 模式 ,一 种 是 主动 模式 ( 即 Standard 模式 或 PORT 模式 ) ,一 
种 是 被 动 模式 ( 即 Passive 模式 或 PASV 模式 )。Standard 模式 下 FTP 客户 端 发 送 PORT 
命令 到 FTP 服务 器 ,Passive 模式 下 FTP 客户 端 发 送 PASYV 命令 到 FTP 服务 器 。 下 面 简 
单 曾 述 FTP 的 这 两 种 工作 模式 。 
。 Standard 模式 FTP 客户 端 首先 动态 地 选择 一 个 端口 (一 般 是 1024 以 上 ) ,与 FTP 
服务 器 的 TCP 21 端口 建立 连接 ,客户 端 需要 接收 数据 时 ,利用 这 个 连接 通道 向 
FTP 服务 器 发 送 PORT 命令 ,PORT 命令 中 包含 了 客户 端 用 什么 端口 接收 数据 。 
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在 传送 数据 的 时 候 , 服 务 器 端 通过 自己 的 TCP 20 端口 与 客户 端的 指定 端口 建立 连 
接 ,FTP 服务 器 和 客户 端 通过 该 新 建 连接 传送 数据 。 

。 Passive 模式 ”该 模式 下 的 控制 通道 建立 与 Standard 模式 下 的 类 似 ,但 建立 连接 后 
发 送 的 不 是 PORT 命令 ,而 是 PASV 命令 。FTP 服务 器 收 到 PASYV 命令 后 ,随机 
打开 一 个 高 端 端口 (端口 号 大 于 1024) ,并 且 通 知客 户 端 在 这 个 端口 上 传送 数据 , 客 
户 端 连接 FTP 服务 器 的 该 端口 ,然后 FTP 服务 器 将 通过 这 个 端口 进行 数据 的 
传送 。 

支持 FTP 协议 代理 的 防火 墙 ,其 主要 任务 是 分 析 FTP 服务 器 和 客户 端 交互 的 协议 数 
据 , 并 根据 分 析出 的 各 个 要 素 进行 检查 和 控制 。 常 见 的 安全 检查 和 控制 要 素 包 括 : 客户 端 
和 服务 器 的 位 置 ( 如 IP 地 址 等 )、 认 证 信息 (用 户 名 和 口令 等 ) 传输 文件 名 (或 目录 名 ) ,传输 
的 文件 类 型 文件 大 小 等 。 

在 HTTP 协议 中 ,客户 端 每 发 送 一 个 请 求 消息 并 收 到 相应 的 响应 消息 后 就 会 断 开 
TCP 链接 , 即 每 个 请 求 之 间 没 有 关联 性 。 而 在 FTP 协议 中 ,相应 的 TCP 链接 (特别 是 控制 
链接 ) 会 持续 存在 ,因此 前 后 发 送 的 请 求 命令 间 可 能 存在 关联 关系 ,这 在 基于 本 章 的 应 用 代 
理 防 火 墙 原 型 系统 实现 对 FTP 协议 的 扩展 支持 时 要 特别 注意 。 由 于 FTP 协议 相对 复杂 ， 
在 进行 相应 的 扩展 开发 实践 时 ,可 分 开 实现 主动 传输 模式 和 被 动 传输 模式 ,或 单独 实现 其 中 
的 一 种 传输 模式 。 


12.5 本 章 小 结 


本 章 详细 阐述 了 一 个 应 用 代理 防火 墙 原型 系统 的 开发 过 程 和 实现 源 代码 ,该 原型 系统 
重点 在 于 展示 应 用 代理 防火 墙 的 工作 原理 、 实 现 过 程 及 基本 开发 方法 ,而 不 在 于 提供 一 个 功 
能 完善 的 应 用 代理 防火 墙 系统 。 因 此 本 开发 实践 实现 的 防火 墙 原型 系统 功能 比较 简单 ,只 
能 支持 简单 的 HTTP 协议 代理 , 且 没有 对 HTTP 的 消息 内 容 进 行 详细 的 分 析 和 控制 ,只 是 
对 服务 器 和 客户 端 进 行 简单 的 认证 和 控制 。 

本 章 最 后 详细 讨论 在 本 原型 系统 的 基础 上 所 能 进行 的 具有 实际 安全 意义 的 扩展 开发 实 
践 ,具体 包括 原型 系统 的 控制 功能 扩展 、 缓 存 机 制 的 扩展 、 消 息 变换 功能 扩展 .审计 功能 扩 
展 , 以 及 对 FTP 协议 的 扩展 支持 等 。 有 兴趣 的 读者 可 在 此 原型 系统 的 基础 上 ,按照 12.4 节 
中 的 内 容 进 行 扩展 开发 实践 。 


习 题 


. 简 述 HTTP 协议 的 特点 ,为 什么 说 HTTP 协议 是 一 个 无 状态 的 协议 ? 

. HTTP 协议 中 主要 包含 哪 两 类 消息 ? 它们 各 有 什么 特点 ? 

章 实现 应 用 代理 防火 墙 的 主线 程 和 子 线程 分 别 完成 什么 任务 和 功能 ? 

. 本章 的 应 用 代理 防火 墙 采用 多 线程 方式 实现 ,从 功能 上 讲 , 采 用 单线 程 也 能 实现 应 
用 代理 防火 墙 , 简 要 说 明 采 用 多 线程 实现 应 用 代理 防火 墙 的 好 处 。 
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5. 应 用 代理 防火 墙 采用 何 种 方式 获得 客户 端 要 连接 Web 服务 器 的 域名 ? 

6. 在 应 用 代理 防火 墙 的 实现 中 ,为 何 要 对 远程 服务 器 的 IP 地 址 进行 缓存 ? 

7. 简单 解释 字 节 序 的 含义 ,以 及 说 明 在 网 络 相 关 的 编程 中 ,为 何 需 要 进行 字 节 序 的 
转换 。 

8. 应 用 代理 防火 墙 在 向 远程 服务 器 发 起 连接 前 需要 知道 客户 端 要 访问 的 远程 服务 器 
的 IP 地 址 。 在 知道 远程 服务 器 域名 的 前 提 下 ,通过 何 种 技术 手段 获得 远程 服务 器 的 IP 
地 址 ? 

9. 结合 本 章 的 开发 实践 ,说 明 如 何在 多 线程 环境 下 实现 对 同一 个 全 局 变量 的 安全 
访问 。 

10. 在 使 用 应 用 代理 防火 墙 前 ,客户 端 是 否 必须 进行 特别 设置 以 及 如 何 设 置 ? 
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章 主要 阐述 如 何 实现 一 个 支持 TCP 协议 的 透明 代理 防火 墙 原型 系统 。 下 面 首 先 介 
绍 该 原型 系统 的 实现 原理 及 相应 的 关键 技术 ,以 及 原型 系统 的 总 体 设计 ,然后 介绍 该 原型 系 
统 的 源 代码 实现 过 程 ,最 后 介绍 该 原型 系统 的 测试 过 程 ,以 及 在 此 原型 系统 基础 上 能 够 进行 
的 扩展 开发 实践 。 


13.1 透明 代理 防火 墙 的 关键 技术 解析 


对 比 第 12 章 开发 的 应 用 代理 防火 墙 ,透明 代理 防火 墙 的 主要 特点 在 于 无 需 在 客户 端 上 
进行 代理 服务 器 的 设置 ,客户 端 完 全 感受 不 到 透明 代理 防火 墙 的 存在 ,客户 端 发 出 的 IP 报 
文 其 目标 IP 地 址 和 端口 都 对 应 目标 服务 器 的 IP 地 址 和 端口 。 而 在 一 般 应 用 代理 服务 器 
机 制 下 ,客户 端 发 出 的 IP 报 文 其 目标 IP 地址 和 端口 是 代理 服务 器 的 IP 地 址 和 服务 端 
口 ,相应 的 IP 报 文 经 过 网 络 路 由 和 协议 处 理 后 ,自然 会 被 交 给 在 该 服务 端口 监听 的 应 用 
代理 程序 。 对 透明 代理 防火 墙 而 言 ,其 首先 需要 解决 的 问题 是 透明 代理 防火 墙 程序 如 何 
获得 客户 端 发 向 目标 服务 器 的 网 络 报 文 ,如 果 能 够 成 功 获得 这 些 网 络 报 文 ,就 可 以 代替 
客户 端 与 目标 服务 器 建立 连接 及 进行 信息 交互 ,并 将 从 目标 服务 器 获得 的 信息 再 转交 给 
客户 端 。 

通过 本 书 第 5 章 讲 述 可 知 , 若 在 客户 端 和 服务 器 间 的 某 路 由 结 点 (如 客户 端的 网 关 处 ) 
上 ,启用 其 操作 系统 (假定 为 Linux 操作 系统 ) 中 Netfilter 框架 的 网 络 地 址 转换 CNAT) 功 
能 ,在 IP 层 将 客户 端 发 出 的 .路 由 至 本 机 的 IP 报 文 , 其 目标 地 址 重 定 向 ( 即 修改 ) 为 本 系统 
的 某 个 指定 端口 ,透明 代理 防火 墙 程序 只 要 在 此 端口 进行 监听 ,就 能 获得 客户 端 发 出 的 应 用 
层 消息 。 

透明 代理 防火 墙 程 序 在 获得 客户 端 发 出 的 应 用 层 消息 后 .还 需要 考虑 解决 男 外 两 个 关 
键 问题 才能 代替 客户 端 与 目标 服务 器 进行 网 络 通信 。 

一 是 如 何 获得 客户 端 要 连接 目标 服务 器 的 IP 地 址 和 端口 。 来 自 客户 端的 报 文 ,其 目标 
IP 地 址 和 端口 已 经 在 透明 代理 防火 墙 所 在 系统 的 IP 层 被 修改 成 该 系统 的 IP 地 址 ( 即 本 机 
IP 地 址 ) 和 所 监听 的 端口 。 透 明代 理 防火 墙 程序 必须 要 获得 客户 端 所 连接 目标 服务 器 的 IP 
地 址 和 端口 ,也 即 重 定向 前 的 目标 IP 地 址 和 端口 ,只 有 这 样 透 明代 理 防 火 墙 才 有 可 能 代替 
客户 端 与 目标 服务 器 发 起 网 络 连 接 和 数据 通信 。 

二 是 透明 代理 防火 墙 在 收 到 目标 服务 器 发 往 客户 端的 网 络 数据 后 ,如 何 将 该 网 络 数据 
发 送 给 客户 端 。 假 定 透明 代理 防火 墙 已 经 成 功 地 代表 客户 端 与 目标 服务 器 建立 了 网 络 连 
接 , 并 开始 了 数据 通信 ,对 客户 端 发 往 目标 服务 器 的 数据 经 Netfilter 框架 的 重 定向 后 ,透明 
代理 防火 墙 收 到 此 数据 可 再 转发 到 与 目标 服务 器 的 网 络 连接 中 。 然 而 ,透明 代理 防火 墙 在 
收 到 目标 服务 器 发 往 客户 端的 网 络 数 据 后 ,如 何 将 该 数据 发 送 给 客户 端 则 成 为 一 个 难 
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点 。 显 然 另 外 建立 一 个 网 络 连 接 是 不 可 行 的 ,因为 客户 端 感觉 不 到 透明 代理 防火 墙 的 存 
在 ,不 会 另 建 一 个 网 络 连接 来 接收 透明 代理 防火 墙 转发 来 的 由 目标 服务 器 发 往 客户 端的 
网 络 数据 。 

解决 上 述 两 个 关键 问题 涉及 到 Netfilter 框架 下 目标 服务 器 标识 获取 和 源 地 址 重 定向 
等 功能 ,下 面 分 小 节 详细 阐述 。 


13.1.1 目标 服务 器 标识 获取 


上 述 第 一 个 关键 问题 对 应 的 是 目标 服务 器 标识 (IP 地 址 、 服 务 端 口 ) 获 取 。 在 实际 应 用 
中 ,第 12 章 所 实现 的 应 用 代理 防火 墙 原 型 系统 以 应 用 代理 服务 器 的 形式 存在 于 网 络 中 ,从 
客户 端 发 往 该 原型 系统 的 消息 内 容 中 提取 出 客户 端 计划 连接 服务 器 ( 即 目标 服 务 器 ) 的 域 
名 ,通过 域名 解析 来 获得 目标 服务 器 的 IP 地 址 。 可 以 想象 ,对 任何 网 络 应 用 的 代理 服务 而 
言 ,由 于 客户 端 知道 代理 服务 器 的 存在 , 且 也 希望 使 用 代理 服务 器 的 代理 功能 ,因而 它 在 发 
往 代理 服务 器 的 应 用 层 消息 中 肯定 包含 目标 服务 器 的 标识 。 

在 透明 代理 防火 墙 的 实现 中 ,上 述 获 得 目标 服务 器 标识 的 方式 一 般 是 行 不 通 的 ,尽管 这 
种 方式 对 个 别 应 用 协议 (如 HTTP 等 ) 通 过 分 析 应 用 层 消 息 或 许 能 够 获得 目标 服务 器 的 标 
识 。 除 非 协议 有 明确 约定 ,客户 端 一 般 将 访问 目标 的 标识 (目标 服务 器 的 IP 地 址 和 端口 ) 直 
接 填充 在 IP 报 文中 IP 头 的 目标 IP 地 址 域 和 TCP 头 的 目标 端口 域 , 不 会 将 访问 目标 标识 
再 复制 一 份 到 报 文 的 应 用 层 数据 中 。 这 就 像 寄 信 一 样 , 通 常 将 收 信人 地 址 和 姓名 直接 写 在 
信封 上 , 信 的 内 容 中 就 不 再 写 收 信人 的 地 址 和 姓名 。 

另外 在 透明 代理 机 制 下 ,通过 询问 客户 端 来 获取 目标 服务 器 标识 的 方式 也 行 不 通 。 由 
于 采用 的 是 透明 代理 机 制 ,客户 端 即 使 收 到 询问 ,也 会 不 予 理 皮 。 要 获得 客户 端 需 访问 的 目 
标 服务 器 标识 ,只 能 寄 希 望 于 Netfilter 在 进行 网 络 地 址 转换 时 ,备份 了 IP 报 文 的 原始 目标 
IP 地 址 和 原始 目标 端口 。 事 实 上 ,Netfilter 的 确 这 么 做 了 ,而 且 透 明代 理 防火 墙 程序 可 以 
借助 相应 的 接口 函数 getsockopt() 访 问 到 原始 目标 IP 地 址 和 原始 目标 端口 。 函 数 
getsockopt() 原 来 只 用 于 获得 套 接 层 和 传输 层 的 套 接 字 选项 ,在 Netfilter 框架 下 ,可 借助 该 
函数 获得 IP 报 文 的 一 些 选 项 ,主要 用 于 获得 IP 报 文 重 定向 前 的 IP 地 址 和 端口 ,包括 源 IP 
地 址 和 目标 IP 地 址 ,以 及 源 端口 和 目标 端口 。 本 开发 实践 就 采用 该 函数 来 获得 IP 报 文 的 
原始 目标 IP 地 址 和 原始 目标 端口 ,该 函数 的 具体 用 法 将 在 13. 3. 1 节 中 详 述 。 


13.1.2 至 客户 端的 源 地 址 重 定向 


通常 从 本 机 发 出 的 网 络 数据 ,其 IP 报 文 的 源 IP 地 址 会 被 协议 默认 填充 成 本 机 的 IP 地 
址 。 因 此 ,透明 代理 防火 墙 程序 在 将 目标 服务 器 的 回复 数据 转发 给 客户 端 时 ,如 不 采取 相应 
措施 ,其 对 应 IP 报 文 的 源 IP 地 址 也 会 被 协议 自动 标记 为 本 机 IP 地 址 。 显 然 这 样 的 IP 报 
文 不 能 直接 发 给 客户 端 ,否则 在 透明 代理 模式 下 ,客户 端 会 直接 丢弃 这 些 来 源 陌生 的 报 文 。 
因而 这 些 网 络 数 据 报 文 需要 先 “ 伪 装 ” 成 是 由 目标 服务 器 直接 回复 的 模样 (如 IP 报 文 的 源 
IP 地 址 需要 修改 为 目标 服务 器 的 IP 地 址 等 ) ,再 转发 给 客户 端 。 

幸运 的 是 ,在 对 Linux 系统 中 的 Netfilter 框架 进行 正确 配置 后 ,就 能 自动 实现 IP 报 文 
源 IP 地 址 的 地 址 转换 , 即 透明 代理 防火 墙 转发 的 目标 服务 器 回复 数据 在 进入 IP 层 后 ,其 对 
应 IP 报 文中 的 源 IP 地 址 和 源 端 口 首先 被 默认 设置 为 本 机 IP 地 址 和 防火 墙 对 应 端口 ,然后 
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Netfilter 在 通过 网 口 发 出 该 IP 报 文 前 ,将 其 源 IP 地 址 和 源 端 口 修 改 成 目标 服务 器 的 IP 地 
址 和 端口 。 

Netfilter 实现 该 功能 的 关键 在 于 Netfilter 框架 的 连接 分 析 和 跟踪 功能 。 为 了 让 透明 
代理 防火 墙 接收 到 客户 端 发 送 来 的 网 络 报 文 , 可 通过 命令 iptables 配置 Netfilter 框架 ,让 
Netfilter 框架 对 所 收 到 的 来 自 客户 端的 IP 报 文 ,不 妨 记 做 IPc(x:y 一 >m:n)( 其 中 x:y、m: 
n 表示 IP 地 址 和 端口 对 ,x:y 一 之 m:n 表示 报 文 由 源 IP 地 址 x、 源 端口 y 发 往 目 标 IP 地 址 
m\ 目 标 端 口 n) ,将 其 目标 地 址 和 目标 端口 转换 成 本 机 IP 地 址 和 透明 代理 防火 墙 程序 监听 
的 端口 (假定 为 8888) ,同时 对 该 重 定 向 信息 (原始 的 目标 IP 地 址 和 目标 端口 , 重 定向 后 的 
目标 IP 地 址 和 目标 端口 ) 进 行 记录 。 

当 有 本 机 发 出 的 报 文 ( 记 做 IPs) 经 过 Netfilter 框架 时 ,如 果 该 报 文 的 源 端 口 为 某 报 文 
曾经 重 定向 到 的 目标 端口 ( 即 8888) ,并 且 该 报 文 的 目标 IP 地 址 和 目标 端口 为 该 重 定 向 报 
文 的 源 IP 地 址 和 源 端口 ( 即 x:y) ,Netfilter 会 认为 IPs 与 IPc 属于 同一 网 络 连 接 , 为 其 逆向 
的 传输 报 文 ,因而 Netfilter 将 IPs 的 源 IP 地 址 和 源 端口 修改 为 前 面 被 重 定向 的 原始 目标 
IP 地 址 和 目标 端口 ( 即 m:n)。 

经 过 这 样 的 处 理 , 透 明代 理 防火 墙 将 来 自 目 标 服务 器 的 回复 数据 封装 在 自己 发 出 的 报 
文中 ,在 网 络 链 路 上 传递 时 ,该 报 文 的 源 IP 地 址 和 源 端 口 为 目标 服务 器 的 IP 地 址 和 端口 。 
客户 端 收 到 这 些 报 文 时 ,自然 会 以 为 是 目标 服务 器 直接 发 送 来 的 报 文 ,从 而 进行 相应 的 处 
理 。 这 样 客户 端 无 论 发 送 报 文 还 是 接收 报 文 ,都 感受 不 到 透明 代理 防火 墙 的 存在 。 

在 解决 上 面 两 个 关键 问题 后 ,就 可 以 用 类 似 于 应 用 代理 防火 墙 的 开发 方式 来 实现 透明 
代理 防火 墙 ,基本 思路 如 下 : 配置 Netfilter 的 目标 网 络 地 址 转换 功能 ,将 来 自 客户 端的 报 文 
重 定向 到 本 机 上 的 透明 代理 防火 墙 监听 端口 ; 透明 代理 防火 墙 监听 该 端口 ,并 建立 起 与 客 
户 端的 套 接 字 接 口 ; 透明 代理 防火 墙 通过 调用 函数 getsockopt() ,获得 目标 服务 器 IP 地 址 
和 端口 ,建立 起 与 目标 服务 器 的 套 接 字 接口 ; 两 个 套 接 字 连接 建立 之 后 ,透明 代理 防火 墙 只 
要 按照 既定 的 访问 控制 规则 在 它们 之 间 实 现 应 用 数据 转发 即 可 。 


13.2 原型 系统 的 总 体 设计 


13.2.1 原型 系统 的 功能 设计 


本 章 开发 实践 的 目的 在 于 用 一 个 具体 实例 展现 如 何 实 现 一 个 透明 代理 防火 墙 的 原型 系 
统 ,而 不 是 要 实现 一 个 完善 的 能 够 直接 使 用 的 防火 墙 系统 。 为 突出 和 强调 透明 代理 防火 墙 
实现 的 基本 原理 ,本 原型 系统 的 网 络 控制 规则 比较 简单 ,只 支持 基于 客户 端 地 址 和 服务 器 地 
址 的 访问 控制 ,而且 所 人 允许 通过 的 客户 端 地 址 和 服务 器 地 址 以 全 局 变量 的 形式 直接 固定 在 
源 代 码 中 ,因而 无 须 设 计 相 应 的 控制 规则 配置 程序 。 另 外 每 次 只 能 预定 义 一 个 客户 端 IP 地 
址 和 一 个 服务 器 IP 地 址 , 形 如 : 


char ALLOWED_SERVERIP[20 
char ALLOWED_ CLIENTIP[20 


透明 代理 防火 墙 在 截获 客户 端 发 往 目 标 服务 器 的 报 文 时 ,只 有 该 客户 端 卫 地址 与 预定 


“202.120.2:102 5 


] = 
] = "192.168.48.8"; 
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义 的 客户 端 IP 地 址 (由 全 局 变量 ALLOWED_CLIENTIP 指定 ) 一 致 , 且 所 请 求 的 服务 器 IP 
地 址 与 预定 义 的 服务 器 IP 地 址 (由 全 局 变量 ALLOWED_SERVERIP 指定 ) 一 致 时 ,该 代理 
防火 墙 才 会 提供 网 络 代理 服务 。 在 编译 和 运行 该 原型 系统 前 ,可 以 按照 自己 的 网 络 环境 和 
控制 目标 修改 上 面 的 预定 义 。 

通常 ,为 了 实现 高 层 语 义 相 关 的 网 络 访问 控制 ,透明 代理 防火 墙 需要 对 应 用 层 网 络 协议 
进行 解析 。 为 了 简单 起 见 ,本 章 的 原型 系统 没有 实现 对 应 用 层 协议 的 分 析 和 控制 ,其 功能 类 
似 于 仅 基 于 网 络 层 和 传输 层 特性 进行 连接 控制 的 透明 TCP 连接 代理 。 有 兴趣 的 读者 可 按 
13.5 节 进 行 相应 的 扩展 开发 实践 ,以 支持 对 高 层 协 议 的 检查 和 分 析 。 


13.2.2 原型 系统 的 逻辑 结构 


本 原型 系统 采用 多 线程 的 方式 实现 , 即 一 个 主线 程 和 若干 子 线 程 。 主 线程 每 接收 到 一 
个 TCP 连接 请 求 时 ,都 会 创建 一 个 子 线程 ,由 该 子 线程 负责 处 理 该 连接 请 求 以 及 其 上 的 应 
用 数据 传输 。 
主线 程 的 具体 功能 依次 包括 : 
。 解析 出 命令 行 参数 ,获得 透明 代理 防火 墙 的 工作 端口 ; 
。 创建 套 接 字 接 口 ,然后 监听 (listen) 相 应 的 工作 端口 ; 
。 循环 执行 ,接收 (accept) 来 自 客户 端的 TCP 连接 请 求 , 并 进行 客户 端的 IP 地 址 检 
查 , 若 通过 检查 ,创建 一 个 子 线程 ,将 该 请 求 交 给 该 子 线程 处 理 。 
子 线程 的 具体 功能 依次 包括 : 
。 以 参数 的 形式 从 主线 程 中 获得 TCP 请 求 对 应 的 套 接 字 ( 下 称 客户 套 接 字 )， 
。 调用 函数 getsockopt() ,从 客户 套 接 字 获 得 IP 报 文 重 定向 前 的 目标 IP 地 址 和 目标 
端口 , 即 目标 服务 器 的 IP 地 址 和 端口 ; 
。 进行 服务 器 IP 地 址 的 许可 检查 ,如 果 检 查 不 通过 终止 该 子 线程 , 若 检查 通过 , 则 继 
续 后 面 的 处 理 ; 
。 与 远程 服务 器 ( 即 客户 端 请 求 的 目标 服务 器 ) 建 立 SOCKET 连接 (下 称 服务 套 
接 字 ); 
。 循环 监视 服务 套 接 字 和 客户 套 接 字 ,一旦 某 套 接 字 有 数据 到 达 , 则 从 该 套 接 字 中 读 
取 数 据 , 然 后 将 数据 转发 到 另外 一 个 套 接 字 。 


13.2.3 原型 系统 运行 方式 


本 章 开发 的 透明 代理 防火 墙 原型 系统 以 命令 行 方式 运行 ,接收 一 个 参数 ,以 指定 防火 墙 
的 工作 端口 。 该 原型 系统 采用 标准 的 UNIX 参数 指定 方式 ,运行 方式 如 下 : 


./proxy —p port 


其 中 proxy 为 透明 代理 防火 墙 原型 系统 的 可 执行 程序 名 ,其 后 的 参数 port 指定 防火 墙 
的 工作 端口 , 即 在 该 端口 监听 客户 端 发 来 的 连接 请 求 。 注 意 , 该 端口 一 定 要 与 命令 iptalbes 
配置 中 的 重 定向 目标 端口 相 一 致 ,否则 透明 代理 防火 墙 原型 系统 将 监听 不 到 由 Netfilter 框 
架 重 定向 来 的 网 络 数据 。 
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13.3 原型 系统 的 实现 


13.3.1 关键 库 函 数 


下 文 的 原型 系统 实现 需要 涉及 到 如 何 获得 客户 端 所 要 连接 目标 服务 器 的 IP 地 址 和 端 
口 , 以 及 在 连接 建立 后 如 何 查询 是 否 有 需要 转发 的 数据 到 达 等 ,实现 这 些 功 能 涉及 到 对 以 下 
两 个 库 函 数 的 调用 。 

1. int getsockopt(int s, int level, int optname, void * optval, socklen t * optlen); 


该 函数 用 于 获得 指定 套 接 字 的 选项 值 ,参数 具体 包括 : 

。 s: 要 进行 选项 获取 的 套 接 字 接 口 ; 

level: 获取 选项 所 在 的 协议 层次 ; 

optname: 要 获取 的 选项 名 字 ,用 宏 定义 的 类 型 来 表示 ; 

optval: 指向 接收 选项 值 缓冲 区 的 指针 ; 

optlen: 指向 存储 区 的 指针 ,该 存储 区 既 用 于 指明 选项 值 缓冲 区 (optval) 的 长 度 ,也 
用 于 返回 选项 长 度 。 

在 Linux 系统 中 ,通过 命令 man 或 info 查看 该 函数 的 帮助 文档 可 发 现 , 函数 
getsockopt() 只 用 于 获得 套 接 层 和 传输 层 的 套 接 字 选项 ,即将 参数 level 指定 为 SOL_ 
SOCKET 时 ,可 获得 套 接 层 选项 ,将 参数 level 指定 为 SOL_TCP 时 ,可 获得 TCP 层 选项 。 

实际 上 ,通过 包含 Netfilter 框架 的 相关 头 文件 ,可 借助 函数 getsockopt() 获 得 IP 层 的 
一 些 选项 ,在 本 开发 实践 中 用 以 获得 报 文 地 址 重 定 向 前 的 原始 目标 IP 地 址 和 目标 端口 ,如 : 


getsockopt(clifd, SOL_IP, SO_ORIGINAL DST, &servaddr, &servlen); 


上 述 函 数 调用 中 ,选项 的 协议 层次 为 IP 协议 层 ( 即 参数 level 设 为 SOL_IP) ,所 获得 套 
接 字 选项 的 类 型 为 原始 目标 地 址 (包括 目标 卫 地 址 和 目标 端口 )( 即 参数 optname 设 为 SO_ 
ORIGINAL_DST) 。 

2. int select(int n,fd_set * readfds.fd set * writefds,fd set * exceptfds,struct 

timeval * timeout); 

该 函数 是 SOCKET 网 络 编程 中 重要 而 特别 的 接口 函数 ,与 常见 到 的 诸如 connect()、 
accept() \recv() 或 recvfrom() 等 阻塞 类 函数 有 明显 的 不 同 。 所 谓 阻塞 就 是 进程 或 线程 执行 
到 这 些 函 数 时 必须 等 待 某 个 事件 的 发 生 , 如 果 事件 没有 发 生 , 进 程 或 线程 就 被 阻塞 ,函数 不 
能 立即 返回 ,这 意味 着 一 个 进程 或 线程 只 能 有 效 管理 一 个 SOCKET 连接 。 

一 个 线程 使 用 函数 select() 能 够 以 非 阻 塞 方式 管理 多 个 套 接 字 ,首先 用 函数 select() 监 
视 一 批 套 接 字 接口 的 状态 变化 ,发现 其 中 某 套 接 字 的 状态 变化 后 ,再 调用 相应 的 套 接 字 接口 
函数 (如 函数 recv() 等 ) 来 及 时 处 理 该 套 接 字 上 的 事件 (如 接收 数据 等 ) 。 

在 本 开发 实践 中 ,代理 一 个 连接 请 求 需要 建立 两 个 SOCKET 连接 ,一 个 是 与 客户 端 建 
立 SOCKET 连接 , 另 一 个 是 与 目标 服务 器 端 建立 SOCKET 连接 ,代理 的 主要 任务 是 将 一 
个 套 接 字 接口 上 接收 来 的 数据 发 送 到 另外 一 个 套 接 字 接 口上 ,因此 每 个 子 线程 需要 借助 于 
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调用 函数 select() 同 时 管理 这 两 个 套 接 字 。 
该 函数 的 参数 说 明和 用 途 可 参见 相应 的 手册 或 下 文 的 开发 实践 。 


13.3.2 头 文件 及 全 局 变量 


本 章 透 明代 理 防 火 墙 原型 系统 的 代码 实现 需要 用 到 下 面 的 头 文件 ,需要 将 这 些 头 文件 
包含 在 源 代 码 文件 中 。 


# include < sys/socket.h> //SOCKET 操作 相关 的 头 文件 

# include < netinet/in.h> // 网 络 地 址 格式 相关 的 头 文件 

# include < string.h> // 字 符 串 操作 相关 的 头 文件 

# include < stdio.h> // 标 准 输入 输出 (如 printf 等 ) 相 关 的 头 文件 
# include <unistd.h> 

# include < pthread.h> // 多 线程 编程 需要 包含 的 头 文件 

# include < sys/select.h> // 套 接 字 轮 询 函 数 select() 需 要 的 头 文件 

# include < linux/netfilter_ipv4.h> //Netfilter 编程 需要 的 头 文件 

# include < sys/types.h> // 相 关 的 类 型 定义 头 文件 

# include < getopt.h> // 标 准 命令 行 参数 处 理 操作 (如 getopt) 相 关头 文件 
# define BUFLEN 4096 // 每 次 读 取 请 求 和 响应 的 缓冲 区 大 小 

# define LISTENQ 100 // 监 听 的 最 大 TCP 连接 数目 


/x* 下面 的 全 局 变量 定义 ,表明 许可 的 客户 端 TP 地址 和 服务 器 IP 地址 */ 

char ALLOWED_SERVERIP[20] = "202.120.2.102"; /x 所 允许 访问 的 服务 器 IP 地 址 ,可 自行 设置 ， 
这 里 设 定 域 名 为 www. sjtu. edu. cn 的 服务 器 
IP 地 址 */ 

char ALLOWED_CLIENTIP[20] = "192.168.48.8"; ”// 许 可 访问 的 客户 端 IP 地 址 ,可 自行 设置 


13.3.3 ”函数 组 成 和 功能 设计 


该 原型 系统 的 实现 源 代码 共 包 含 如 下 七 个 函数 。 
。 主 函数 。 函 数 原型 为 : 


int main(int argc, char ** argv); 


该 函数 首先 解析 出 命令 行 参数 中 指定 的 透明 代理 防火 墙 工 作 端 口 ,然后 创建 相应 的 
套 接 字 接口 , 即 调用 函数 tcp_listen() 创 建 相应 的 套 接 字 , 并 监听 该 工作 端口 。 其 后 
该 函数 循环 接收 来 自 客户 端的 连接 请 求 ,调用 函数 checkclient() 进 行 客户 端 地 址 检 
查 , 对 通过 检查 的 请 求 ,创建 子 线程 处 理 该 连接 请 求 。 

客户 端 监听 函数 。 函 数 原型 为 : 


int tcp_listen( int port); 


该 函数 创建 相应 的 套 接 字 ,并 监听 由 参数 port 指定 的 工作 端口 ,返回 监听 该 端口 的 
套 接 字 。 
客户 端 检查 函数 。 函 数 原型 为 : 


int checkclient(in addr t cli addr); 


该 函数 实现 客户 端 IP 地 址 的 检查 ,即将 参数 cli_addr 指定 的 客户 端 IP 地 址 与 全 局 
变量 ALLOWED_CLIENTIP 的 值 进 行 比 对 , 若 二 者 一 致 , 则 检查 通过 ,返回 1 ,否则 
返回 一 1。 
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。 子 线程 函数 。 函 数 原型 为 : 


void Connectionthread (void * arg); 


该 函数 为 子 线程 的 主体 函数 ,用 于 处 理 单个 TCP 连接 请 求 。 该 函数 的 具体 功能 为 : 
首先 从 参数 中 获得 请 求 对 应 的 套 接 字 ( 即 客户 套 接 字 ) ,调用 函数 getsockopt() 提 取 
所 要 连接 的 目标 服务 器 IP 地 址 和 端口 ,然后 调用 函数 checkserver() 检 查 是 否 允许 
该 请 求 ,对 检查 通过 的 请 求 , 调 用 函数 Connect_Serv() 连 接 目标 服务 器 ,获得 对 应 的 
套 接 字 接口 ( 即 服务 套 接 字 ) ,最 后 调用 函数 Data_Trans() ,实现 客户 套 接 字 和 服务 
套 接 字 间 的 应 用 数据 转发 。 

服务 器 检查 函数 。 函 数 原型 为 : 


int checkserver( in addr t serv addr); 


该 函数 实现 服务 器 IP 地 址 的 检查 ,即将 参数 serv_addr 所 指定 的 服务 器 IP 地 址 与 
全 局 变量 ALLOWED_SERVERIP 的 值 进行 比 对 ,车 二 者 一 致 , 则 检查 通过 ,返回 
1, 否 则 返回 一 1。 

连接 服务 器 函数 。 函 数 原型 为 : 


int Connect_Serv( struct sockaddr_in serveraddr); 


该 函数 连接 由 参数 serveraddr 指定 IP 地 址 和 端口 的 目标 服务 器 ,并 将 对 应 的 套 接 
字 接 口 作为 函数 返回 值 。 
数据 传递 函数 。 函 数 原型 为 : 


void Data_ Trans(int clifd, int servfd); 
该 函数 实现 客户 套 接 字 和 服务 套 接 字 间 的 数据 转发 , 即 读 取 到 达 一 个 套 接 字 接 口 的 
数据 ,将 其 转发 到 另 一 个 套 接 字 接口 中 。 

这 些 函 数 间 的 调用 关系 如 图 13-1 所 示 。 


创建 子 线程 


证 国 数 


main 


人 f | 1 
客户 机 监 是 拟 数 | 客户 端 检查 函数 | | 服务 器 检查 函数 | 服务 器 连接 函数 | 数据 俯 输 世 数 


tep listen checkclient checkserver Data_Trans ||Connect_Serv 


Connectionthread 


了 线程 函数 | 


13-1 透明 代理 防火 墙 的 函数 调用 关系 


13.3.4 主线 程 代码 实现 与 注释 


1. 主 函 数 

int main(int argc, char *x argv){ 
struct sockaddr_in cli_addr; // 保 存 监 听 到 有 连接 请 求 的 客户 端 IP 地 址 和 端口 
socklen t sin size = sizeof(struct sockaddr_ in); // 地 址 结构 长 度 
int connfd, sockfd, port; //port 用 于 保存 用 户 在 命令 行 中 输入 的 工作 端口 
pthread_t Clitid; // 定 义 线程 变量 


char opt; // 保 存 函数 getopt() 分 析出 的 选项 标识 
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} 


while( (opt = getopt(argc, argv, "p:")) != EOF) { // 逐 个 获取 每 个 命令 行 选项 
switch(opt) { 
Case 'p': 
port = (short) atoi(optarg);  // 将 字符 串 表示 的 端口 转化 为 整数 
break; // 只 有 这 一 个 命令 选项 ,解析 出 后 即 可 提前 退出 循环 
default: 
printf("Usage: %s -pport\n"，argv[0]);// 显 示 正 确 的 命令 行 格式 
return -1; 
} 
} 
sockfd= tcp_listen(port); // 创 建 套 接 字 ,并 监听 参数 port 指定 的 端口 
for(;;){ 
connfd = accept( sockfd, (struct sockaddr * )&cli addr, &sin size); // 接 收 TCP 连接 请 求 
if(connfd <= 0) 
continue; // 无 效 的 TCP 连接 请 求 
if (checkclient (cli addr. sin addr.s addr) == -1){ // 进 行 客户 端 IP 地 址 检查 
close(connfd) ; // 检 查 不 通过 , 则 关闭 与 客户 端的 TCP 连接 
continue; // 提 前 终止 本 次 处 理 
k 
printf("Received a request from $% s: %u\n",inet ntoa(cli addr. sin addr. s_addr), 
ntohs(cli_addr. sin_port)); // 输 出 发 起 连接 请 求 的 客户 端的 IP 地 址 和 端口 
pthread_create( gClitid, NULL, Connectionthread, (void* )connfd) ;/ * 创建 子 线程 处 理 接 
收 到 的 连接 请 求 ,将 该 请 求 的 客户 套 接 字 connfd 以 参数 形式 传递 给 子 线程 * / 
} 


return 0; 


2. 客户 端 监听 函数 


int tcp_listen(int port){ 


struct sockaddr_in cl]_addr; // 保 存 监听 到 的 客户 端 IP 地 址 和 端口 
struct sockaddr_in proxyserver_addr; // 保 存 本 原型 系统 所 在 主机 IP 地 址 和 工作 端口 
socklen t sin size = sizeof(struct sockaddr in); // 地 址 结构 的 长 度 
int sockfd on = 1; //sockfd 为 监听 连接 的 套 接 字 
memset(&proxyserver_addr，0，sizeof(proxyserver_addr)); // 清 空 该 地 址 结构 
proxyserver_addr. sin family = AF_INET;// 指 明 是 internet 的 地 址 入 
proxyserver_addr. sin_addr.s_addr = htonl(INADDR_ANY); /* 设置 IP 地 址 , INADDR_ANY 表示 
本 主机 的 IP 地 址 , 函数 htonl() 将 IP 地 址 由 主机 字 节 序 转 变 为 网 络 字 节 序 * / 
proxyserver_addr. sin_port = htons(port); /* 设 置 服务 端口 ,函数 htons() 将 端口 号 由 主机 
字 节 序 转变 为 网 络 字 节 序 * / 

sockfd = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP); // 创 建 TCP 协议 套 接 字 
if (sockfd < 0) { 

printf("Socket failed... Abort… \n"); 

return; 
Setsockopt( sockfd, SOL, SOCKET, SO_REUSEADDR, (char * ) Son, sizeof(on)); / * 设置 套 接 字 选 项 * / 
if (bind(sockfd, (struct sockaddr * ) &proxyserver addr, sizeof(proxyserver addr)) < 0) 
{ /* 绑 定 地 址 * / 

printf("Bind failed. Abort … \n"); 

return; 
: 
if (listen( sockfd, LISTENQ) < 0) { // 监 听 该 套 接 字 ,LISTENQ 指明 监听 队列 长 度 
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printf("Listen failed-. Abort … \n"); 
return; 


} 
return sockfd; 
} 


3. 客户 端 检 查 函 数 


int checkclient(in addr t cli addr) { 
int allowedip; // 保 存 划 地 址 的 32 位 整数 变量 
inet_aton(ALLOWED_CLIENTIP, ( struct in addr * )&allowedip); /* 将 十 进 制 的 点 分 IP 地 址 格 
式 (如 “192.168.48.8”) 转 化 为 32 位 IP 地 址 格式 * / 


if (allowedip != cli addr){ // 比 较 IP 地 址 

printf("Client IP authentication failed !\n "); 

return —1; // 与 允许 的 客户 端 IP 地 址 不 符 ,返回 一 1 
于 
return 1; // 检 查 通过 ,返回 1 


} 
13.3.5 子 线程 代码 实现 与 注释 


1. 子 线 程 函 数 
void* Connectionthread(void* arg){ 
int clifd; // 保 存 客户 套 接 字 
int servfd; // 保 存 服务 套 接 字 
struct sockaddr in servaddr; // 用 于 连接 服务 器 的 地 址 结构 
socklen t servlen; // 地 址 结构 的 长 度 
pthread_detach(pthread_self()); // 线 程 结束 后 自行 释放 资源 
clifd = (int)arg; // 获 得 从 主线 程 传人 的 客户 套 接 字 
if (clifd <= 0) 
return NULL; 


/* 获取 客户 端 要 连接 服务 器 的 IP 地 址 和 端口 ,参数 SOL_IP 指明 获得 IP 协议 层 选项 ,参数 S0_ 
ORIGINAL_DST 表示 获取 该 套 接 字 所 接收 报 文 的 原始 目标 IP 地 址 和 目标 端口 , 即 重 定向 前 的 
目标 IP 地 址 和 目标 端口 * / 

if ((getsockopt(clifd, SOL_IP, SO_ORIGINAL DST, &servaddr, &servlen)) != 0 ){ 


close(clifd); 
return NULL; 
} 
if (checkserver(servaddr. sin addr.s addr) == —1){ // 检 查 是 否 允 许 连接 该 目标 服务 器 
close(clifd); // 不 允许 连接 ,关闭 与 客户 端的 TCP 连接 
return NULL; 


} 
servfd = Connect_Serv(servaddr); // 代 替 客 户 端 连 接 目标 服务 器 
if (servfd <= 0 ){ 


close(clifd); // 连 接 不 成 功 ,关闭 与 客户 端的 连接 
return NULL; 
} 
Data_Trans(clifd, servfd); // 实 现 两 个 套 接 字 (clifd、servfd) 间 的 数据 相互 转发 
close( servfd); // 关 闭 与 服务 器 的 TCP 连接 
close(clifd); // 关 闭 与 客户 端的 TCP 连接 


return NULL; 
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2. 服务 器 检查 函数 
int checkserver(in_addr t serv_addr){ // 参 数 为 待 检查 的 服务 器 IP 地址 


int allowedip; 
inet_aton(ALLOWED_SERVERIP, ( struct in_addr * )&allowedip); /* 将 点 分 十 进 制 的 IP 地址 格 
式 (如 “202.120.2.102”) 转 化 为 32 位 到 地 址 格式 */ 
if (allowedip != serv addr){ 
printf("Server IP authentication failed !\n "); 


return -1; // 检 查 不 通过 
| 
return 1; 
|: 
3. 服务 器 连接 函数 
int Connect_Serv( struct sockaddr_in serveraddr){ 
int cnt_stat; // 保 存 connect 函数 的 返回 值 ,表示 连接 服务 器 是 否 成 功 
int remoteSocket; // 连 接 服 务 器 的 套 接 字 


remoteSocket = socket(PF_INET，SOCK_STRERM，IPPROTO_TCP) ;// 创 建 TCP 套 接 字 
if (remoteSocket < 0) { 
printf("Can't creat a socket. \n");// 创 建 失败 
return 0; 
i 
serveraddr. sin_family= AF_INET; // 设 置 为 internet 地 址 簇 ( 即 AF_INET) 
cnt_stat = connect(remoteSocket, (struct sockaddr * ) &serveraddr, sizeof(serveraddr)); 
/* 与 目标 服务 器 建立 SOCKET 连接 * / 
if (cnt_stat < 0) { // 连 接 建立 失败 


printf("remote connect failed \n"); 


return 0; 
} else 
printf("connected remote server --—-——--—-----------—— >%s:%u.\n",inet_ntoa 
(serveraddr. sin_addr.s_addr),ntohs(serveraddr. sin_port)); /x* 输 出 连接 服务 器 
成 功 的 提示 * / 
return remoteSocket; // 返 回 连接 服务 器 的 套 接 字 
} 
4. 数据 传输 函数 
void Data_Trans( int clifd, int servfd){ 
int maxfdp; // 要 轮 询 套 接 字 的 最 大 值 
fd_set rset; // 要 轮 询 的 套 接 字 集合 
char cli_buf[ BUFLEN]; // 用 于 存储 客户 端 发 来 数据 的 缓冲 区 
char serv_buf[BUFLEN] // 用 于 存储 服务 器 发 来 数据 的 缓冲 区 
int length; // 每 次 转发 数据 的 最 大 长 度 
ED_ZERO( &rset); // 清 空 轮 询 的 套 接 字 集 合 


maxfdp = (clifd >= servfd? clifd:servfd ) + 1;//maxfd 设置 为 两 套 接 字 的 最 大 值 加 1 
for(;;){ 
FD_SET( clifd, grset ); // 将 客户 套 接 字 设置 到 要 轮 询 的 套 接 字 集合 中 
FD_SET( servfd, grset ); // 将 服务 套 接 字 设置 到 要 轮 询 的 套 接 字 集合 中 
证 (select( maxfdp, grset, NULL, NULL, NULL ) < 0){ /* 检查 这 两 个 套 接 字 是 否 有 数据 到 达 * / 
printf("A error occurs when selecting. \n"); 
return; 
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if( FD_ISSET(clifd, grset)){  // 客 户 端 发 来 的 数据 到 达 客 户 套 接 字 
length = read(clifd, cli buf,BUFLEN); // 从 客户 套 接 字 中 读 取 数据 


if(length <= 0) // 可 能 是 该 连接 被 对 方 关闭 
return; 
if(send( servfd,cli buf, length,0) <= 0) // 将 数据 发 送 到 服务 套 接 字 
return; 
} 
if( FD_ISSET(servfd, grset) ){ // 服 务 器 发 来 的 数据 到 达 服 务 套 接 字 
length = read(servfd, serv_buf, BUFLEN); ”// 从 服务 套 接 字 中 读 取 数据 
if( length <= 0 ) // 可 能 是 该 连接 被 对 方 关 闭 
return; 
if( send(clifd, serv_buf, length,0) <= 0) // 将 数据 发 送 到 客户 套 接 字 
return; 


13.4 编译 .运行 与 测试 


在 完成 13. 3 节 所 示 的 代码 编程 和 实现 后 ,就 可 以 对 该 原型 系统 进行 测试 ,在 运行 测试 
前 需 将 源 代 码 编译 成 可 执行 程序 ,并 设置 相应 的 测试 环境 。 


13.4.1 测试 环境 设置 


在 进行 透明 代理 防火 墙 原型 系统 的 功能 测试 前 ,需要 进行 测试 网 络 环境 的 设置 ,以 保证 
测试 网 络 的 正常 畅通 。 

一 般 的 应 用 代理 防火 墙 可 以 安装 在 网 络 中 的 任意 位 置 , 只 要 客户 端 设 置 好 代理 服务 器 ， 
客户 端的 代理 请 求 会 自动 路 由 到 应 用 代理 防火 墙 所 在 的 主机 。 而 运用 透明 代理 防火 墙 实现 
代理 功能 时 ,透明 代理 防火 墙 不 能 随意 安置 ,只 能 安置 在 客户 端 和 目标 服务 器 间 的 某 个 路 由 
结 点 上 。 通 常情 况 下 ,透明 代理 防火 墙 放置 在 客户 端 所 在 局 域 网 的 出 口 处 , 即 内 部 网 络 接 和 人 
外 部 网 络 的 网 关 处 。 

在 本 透明 代理 防火 墙 原型 系统 的 测试 中 ,以 安装 Linux 操作 系统 的 双 网 卡 PC 作为 网 
关 , 该 网 关 的 两 个 网 卡 eth0、ethl 分 别 连接 内 部 网 络 和 外 部 网 络 , 具 体 的 网 络 结构 如 
图 13-2 所 示 ,本 章 开发 的 透明 代理 防火 墙 原型 系统 就 运行 在 该 Linux 网 关上 。 


客户 谐 局 域 网 网 关 
(Windows 系统 ) (Linux 系统 ) 
| 一 一 一 一 一 外 网 
(TP:192.168.48.8) (IP:192.168.48.101) (IP:192.168.47.101) 


(Gateway:192.168.48.101) 
13-2 ”透明 代理 防火 墙 的 测试 网 络 结构 
按照 图 13-2 所 示 设 置 测 试 网 络 ,在 测试 本 章 开发 的 防火 墙 原 型 系统 时 ,需要 依据 自己 


的 网 络 接 入 情况 进行 相应 设置 。 以 默认 方式 安装 和 运行 Linux 系统 时 ,Linux 系统 的 IP 报 
文 转发 功能 ( 即 IP forward 选项 ) 需 要 先行 开启 ,Linux 系统 才能 用 作 网 关 。IP forward 选 
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项 保存 在 一 个 proc 文件 ( 即 /proc/sys/net/ipv4/ip_forward) 中 ,该 文件 的 内 容 如 果 为 0, 表 
示 关 闭 IP 报 文 转发 功能 ,为 1 表示 打开 报 文 转发 功能 。 在 命令 行 窗口 下 ,运行 如 下 命令 即 
可 开启 IP 报 文 转发 功能 ,即将 1 显示 ( 即 输出 重 定向 ) 到 /proc/sys/net/ipv4/ip_forward 文 
件 中 。 


echo 1 > /proc/sys/net/ipv4/ip_forward 


Linux 系统 可 能 安装 了 Linux 内 置 防 火 墙 ,Linux 运行 过 程 中 该 内 置 防火 墙 一 般 默认 
处 于 启用 状态 ,为 避免 Linux 内 置 防火 墙 影响 到 本 原型 系统 的 测试 过 程 ,可 预先 禁止 Linux 
内 置 防火 墙 。 具 体 方法 参见 5. 3. 4 节 , 在 如 图 5-4 所 示 的 界面 中 将 “启用 ”改选 为 “禁止 ” 
即 可 。 

在 完成 上 述 设 置 后 ,客户 机 与 外 网 之 间 应 该 能 够 正常 进行 网 络 通信 。 为 了 确保 上 述 设 
置 的 正确 ,在 进行 下 一 步 测试 前 ,最 好 从 客户 端 访问 一 下 外 网 ,如 用 ping 命令 测试 一 下 是 否 
可 与 外 网 主机 连通 。 

与 测试 应 用 代理 防火 墙 不 同 , 测 试 透明 代理 防火 墙 无 需 如 12. 3. 2 节 一 样 对 客户 端 进行 
代理 服务 器 的 设置 。 


13.4.2 编译 和 运行 


本 原型 系统 的 编程 实现 中 用 到 了 多 线程 ,因此 在 编译 该 原型 系统 时 需要 用 到 线程 库 。 
在 Linux 操作 系统 中 ,开启 一 个 shell 终端 ,在 命令 行 窗 口 输入 如 下 命令 即 可 完成 透明 代理 
防火 墙 原型 系统 的 编译 。 


gcc -otc- proxy tc - proxy.c -lpthread 

其 中 tc-proxy. c 为 保存 13. 3 节 源 代码 的 源 文件 ,tc-proxy 是 希望 编译 出 的 可 执行 文件 
名 ,-lpthread 指明 所 使 用 的 函数 库 , 即 线程 函数 库 。 

编译 完成 后 ,在 命令 行 窗口 中 输入 以 下 内 容 ,就 可 启动 透明 代理 防火 墙 。 

./tc ~ proxy -p 8888 


其 中 -p 选项 指明 了 该 透明 代理 防火 墙 的 工作 端口 , 即 Netfilter 框架 将 来 自 客户 端的 报 
文 重 定 向 到 该 端口 ,透明 代理 防火 墙 通过 监听 该 端口 ,接收 来 自 客户 端 经 重 定向 后 的 TCP 
连接 请 求 。 这 里 将 工作 端口 设置 为 8888, 用 户 可 自行 设 定 ,但 要 与 Netfilter 框架 中 设 定 的 
重 定向 目标 端口 ( 即 iptables 命令 中 一 to-ports 选项 的 内 容 ) 相 一 致 。 


13.4.3 测试 过 程 
在 对 透明 代理 防火 墙 进行 功能 测试 前 .还 需 对 Netfilter 框架 进行 配置 ,要 求 它 在 收 到 
TCP 协议 报 文 ( 实 际 上 是 对 应 TCP 协议 的 IP 报 文 ) 时 ,将 这 些 报 文 重 定 向 到 透明 代理 防火 


墙 正 在 监听 的 端口 ( 即 8888) 。Netfilter 框架 的 处 理 规则 可 通过 命令 iptables 来 配置 ,在 命 
令 行 下 运行 以 下 命令 即 可 实现 TCP 报 文 重 定向 。 


iptables 一 tnat — A PREROUTING -p tcp -j REDIRECT —— to~ ports 8888 


命令 参数 的 具体 含义 如 下 。 
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-tnat: 指明 该 规则 配置 操作 的 对 象 是 网 络 地 址 转换 (NAT) 相 关 的 规则 表 ; 
-A PREROUTING: 指明 在 PREROUTING 的 处 理 链 上 增加 规则 ,本 实验 需要 在 


IP 路 由 前 进行 目标 地 址 重 定向 ,这 样 重 定向 后 的 报 文 ( 即 修改 了 目标 IP 地 址 和 端口 
的 报 文 ) 在 IP 层 进行 后 继 的 路 由 处 理 后 ,会 自动 被 IP 层 交 给 上 层 协 议 处 理 ; 


TCP 上 网 络 应 用 的 代理 ; 
-REDIRECT: 指明 规则 处 理 的 动作 是 报 文 重 定向 (REDIRECT); 
一 to-ports 8888: 指明 重 定向 到 的 目标 端口 为 8888。 


-p tcp: 指明 该 条 规则 只 对 TCP 协议 的 报 文 有 效 , 因 本 透明 代理 防火 墙 只 支持 对 


这 条 配置 规则 的 含义 是 : 在 网 络 地 址 转换 (NAT) 规 则 表 中 的 PREROUTING 处 理 链 


上 增加 一 条 规则 ,该 规则 将 所 有 的 TCP 协议 报 文 重 定向 到 本 机 的 8888 端口 。 
在 进行 上 述 设置 后 ,系统 中 的 Netfilter 处 理 规则 如 图 13-3 所 示 。 


root@IDServer:~/te-proxy 加 


Fle Edt View Terminal Tabs Help 
[root@IDServer tc-proxy]# echo 1 > /proc/sys/net/ipv4/ip forward 

[root@IDServer tc-proxy]# cat /proc/sys/net/ipv4/1ip_forward 

[root@IDServer tc-proxy]# iptables -t nat -A PREROUTING -p tcp -】REDIRECT --to-ports 8888 
[root@IDServer tc-proxy]# iptables -t nat -L 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 

REDIRECT tcp -- anywhere anywhere redir ports B888 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 


target prot opt source destination 
[root@IDServer tc-proxy]# 目 


图 13-3 透明 代理 防火 墙 运行 时 的 Netfilter 处 理 规则 设置 


ID 


在 客户 端 中 开启 IE 浏览 器 ,在 地 址 栏 输入 “* http://www. sjtu. edu. cn”( 其 IP 地 址 为 
202. 120. 2. 102) ,就 可 以 看 到 浏览 器 中 显示 出 上 海 交 通 大 学 的 主页 面 ( 注 : 进行 该 测试 时 ， 
要 保证 DNS 服务 是 可 用 的 ,或 者 直接 以 IP 地 址 形式 访问 网 页 ,如 http://202. 120. 2. 102， 
否则 可 能 因 DNS 的 问题 导致 不 能 显示 出 所 请 求 的 网 页 )。 同 时 在 透明 代理 防火 墙 的 运行 终 
端 可 以 看 到 相应 的 输出 信息 ,如 图 13-4( 这 里 客户 端 IP 地 址 为 192. 168. 48. 8) 所 示 。 


rootDIDServer:~/te-proxy S 


Fle Edit View Terminal Tabs Help 


[root@IDServer tc-proxy]# gcc -0 tc-proxy tc-proxy.c -Lpthread 
[root@IDServer tc-proxy]# ./tc-proxy -p 8888 

Received a request from 192.168.48.8:2949 

connected remote server------------------- >292.129.2.102:89. 
Received a request from 192.168.48.8:2941 

Received a request from 192.168.48.8:2942 

connected remote server------------------- >262.126.2.162:89 
Received a request from 192.168.48.8:2943 

Received a request from 192.168.48.8:2944 

Received a request from 192.168.48.8:2945 

ected remote server------------------- >292.129.2.102:89. 


图 13-4 透明 代理 防火 墙 的 代理 信息 输出 


x 


在 客户 端 浏览 器 的 地 址 栏 中 输入 http://bbs. sjtu. edu. cn, 由 于 在 源 程序 中 允许 连接 
的 服务 器 IP 地 址 预定 义 为 202. 120. 2. 102( 由 变量 ALLOWED_SERVER 指定 ) ,不 是 bbs. 
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sjtu. edu. cn 服务 器 对 应 的 202. 120. 58. 161 ,该 代理 连接 将 会 被 拒绝 。 同 时 透明 代理 防火 
墙 原型 系统 会 输出 相应 的 一 些 拒绝 代理 的 信息 ,如 图 13-5 所 示 。 


民 [ET = 


Ele Edit View Jerminal Tabs Help 

[root@IDServer tc-proxy]# gcc -o tc-proxy tc-proxy.c -Lpthread 
[root@IDServer tc-proxy]# ./tc-proxy -p 8888 

Received a request from 192.168.48.8:1646 

Server IP authentication failed ! 

Received a request from 192.168.48.8:1647 

Server IP authentication failed ! 


图 13-5 透明 代理 防火 墙 的 拒绝 代理 信息 输出 


在 实验 结束 后 ,通过 相关 shell 命令 关闭 Linux 系统 的 TCP 协议 报 文 重 定向 功能 ,以 及 
取消 IP 数据 包 转 发 功能 ,具体 操作 如 图 13-6 所 示 。 


root@lDServer:~/te-proxy 司 [IE 


Ble Edt View JTerminal Tabs Help 
[root@IDServer tc-proxy]# iptables -t nat -D PREROUTING 1 守 
[root@IDServer tc-proxy]# iptables -t nat -L 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[root@IDServer tc-proxy]# echo 9 > /proc/sys/net/1pv4/ip_forward 
[root@IDServer tc-proxy]# cat /proc/sys/net/ipv4/1p_forward 

9 


[root@IDServer tc-proxy]# 国 


图 13-6 透明 代理 防火 墙 运行 结束 后 恢复 设置 


13.5 扩展 开发 实践 


对 比 第 12 章 实现 的 应 用 代理 防火 墙 ,本 章 实现 的 透明 代理 防火 墙 实质 上 是 一 个 TCP 
协议 代理 服务 器 ,其 代理 功能 并 不 局 限于 对 HTTP 协议 的 支持 ,很 多 建立 在 TCP 协议 上 的 
网 络 应 用 都 可 以 支持 。 同 第 12 章 一 样 , 本 章 防 火 墙 原 型 系统 也 没有 对 应 用 层 协 议 进 行 分 析 
并 基于 分 析出 的 协议 属性 进行 连接 控制 ,只 对 客户 端 IP 地 址 和 服务 器 IP 地 址 进行 了 简单 
控制 ,也 没有 引入 很 好 的 缓存 机 制 来 提高 性 能 。 有 兴趣 的 读者 可 以 基于 该 防火 墙 原型 系统 ， 
完成 下 面 的 扩展 开发 实践 。 


13.5.1 透明 代理 防火 墙 的 多 规则 支持 和 动态 配置 扩展 


上 面 的 开发 实践 中 以 单个 全 局 变量 而 不 是 用 一 张 表 (或 一 个 配置 文件 ) 来 存储 允许 访问 
的 客户 端 IP 地 址 和 服务 器 IP 地 址 ,因而 不 能 设置 多 个 客户 端 IP 地 址 和 服务 器 IP 地 址 。 
另外 ,本 原型 系统 无 法 实现 控制 规则 的 动态 设置 ,因为 控制 信息 ( 即 许可 的 客户 端 和 服务 器 ) 
在 源 程序 中 以 预定 义 的 方式 出 现 , 要 修改 控制 信息 比较 繁琐 ,需要 修改 源 程序 中 的 预定 义 ， 
然后 重新 编译 和 运行 ,所 修改 的 控制 规则 才能 生效 。 

该 扩展 开发 实践 的 具体 内 容 包括 : 实现 一 个 友好 的 控制 信息 配置 界面 (或 配置 程序 )， 
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可 通过 该 配置 界面 配置 该 原型 系统 的 控制 规则 ; 一 个 实用 的 防火 墙 需要 能 够 配置 多 条 安全 
控制 规则 ,而 不 能 像 本 原型 系统 中 只 能 对 一 个 客户 端 和 一 个 服务 器 进行 代理 和 控制 ,因此 需 
要 实现 配置 信息 的 文件 (或 数据 库 ) 保 存 , 以 便 管理 员 不 用 每 次 全 新 配置 控制 规则 ,只 需要 在 
原 有 的 控制 规则 上 进行 适当 修改 即 可 ; 实现 防火 墙 规则 的 动态 配置 更 新 , 即 配置 防火 墙 规 
则 时 ,无 需 暂 停 或 终止 防火 墙 的 运行 ,只 需 在 配置 完成 后 进行 激活 处 理 ,防火 墙 就 能 依据 新 
配置 的 控制 规则 进行 网 络 连接 控制 。 


13.5.2 透明 代理 防火 墙 的 HTTP 协议 解析 与 控制 扩展 


本 章 所 实现 的 透明 代理 防火 墙 原型 系统 没有 对 应 用 层 协议 的 数据 内 容 进 行 分 析 和 控 
制 ,可 以 将 其 改造 成 针对 某 特定 应 用 协议 (FTP、.HTTP 等 ) 的 透明 代理 防火 墙 ,在 其 中 实现 
应 用 层 协 议 的 分 析 和 控制 。 本 节 和 下 节 分 别 简 单 介 绍 针对 HTTP 协议 和 FTP 协议 的 解析 
和 控制 扩展 。HTTP 协议 和 FTP 协议 的 概念 和 特征 已 经 在 第 12 章 中 进行 了 介绍 ,这 里 不 
再 袭 述 。 

本 节 的 扩展 开发 实践 涉及 到 对 HTTP 消息 内 容 的 分 析 和 控制 ,HTTP 消息 包括 浏览 
器 向 服务 器 的 请 求 消息 以 及 服务 器 向 浏览 器 的 响应 消息 。 请 求 消息 比较 简单 ,请 求 方法 常 
用 的 有 GET、HEAD、POST, 可 以 依据 不 同 的 请 求 方法 进行 控制 ,也 可 以 实现 对 URL 的 过 
滤 和 控制 。 响 应 消息 中 对 网 络 安 全 影响 较 大 的 要 素 是 响应 的 实体 类 型 ,可 以 据 此 进行 访问 
控制 ,如 禁止 下 载 applet、 禁 止 下 载 word 文件 等 。 

对 比 第 12 章 中 应 用 代理 防火 墙 的 控制 功能 扩展 ,透明 代理 防火 墙 无 法 实现 基于 用 户 名 
和 口令 的 身份 认证 以 及 相应 的 连接 控制 ,原因 在 于 客户 端 感受 不 到 透明 代理 防火 墙 的 存在 ， 
透明 代理 防火 墙 无 法 发 送 要 求 客户 端 提供 身份 认证 的 消息 ,即使 发 送 了 这 类 消息 ,客户 端 也 
不 予 理会 。 


13.5.3 透明 代理 防火 墙 的 FTP 协议 解析 与 控制 扩展 


支持 FTP 协议 的 透明 代理 防火 墙 ,其 主要 任务 是 分 析 FTP 服务 器 和 客户 端 交互 的 协 
议 数据 ,并 根据 分 析出 的 各 个 要 素 进行 检查 和 控制 。 常 见 的 安全 检查 和 控制 要 素 包括 客户 
端 和 服务 器 的 位 置 (IP 地 址 等 ) 、 认 证 信息 (用 户 名 和 口令 等 )、 传 输 的 文件 名 (或 目录 名 ), 传 
输 的 文件 类 型 .文件 大 小 等 。 

在 HTTP 协议 中 ,客户 端 每 发 送 一 个 请 求 消 息 并 收 到 相应 的 响应 消息 后 就 会 断 开 
TCP 链接 , 即 每 个 请 求 之 间 没 有 关联 性 。 在 FTP 协议 中 ,所 建立 的 TCP 链接 (特别 是 控制 
链接 ) 可 能 会 持续 存在 ,前 后 发 送 的 请 求 命令 间 可 能 存在 关联 关系 ,这 在 基于 本 章 的 透明 代 
理 防火 墙 原型 系统 实现 对 FTP 协议 的 扩展 时 要 特别 注意 。 由 于 FTP 协议 相对 复杂 ,在 进 
行 相应 的 扩展 开发 实践 时 ,可 分 开 实现 主动 传输 模式 和 被 动 传输 模式 ,或 单独 实现 其 中 的 一 
种 传输 模式 。 


13.5.4 透明 代理 防火 墙 的 网 页 缓存 扩展 


很 多 实际 的 Web 代理 服务 器 为 提高 客户 端 访问 网 页 的 速度 ,经 常 对 目标 服务 器 的 响应 
消息 (如 网 页 等 ) 进 行 缓存 。 如 果 客 户 端 对 同一 个 URL 进行 访问 ,代理 服务 器 可 以 在 第 一 
次 请 求 该 URL 时 ,将 所 获得 的 响应 消息 缓存 在 本 地 ,以 后 再 收 到 客户 端 对 该 URL 的 请 求 
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时 ,无需 再 访问 目标 服务 器 ,直接 将 缓存 中 的 响应 消息 回复 给 客户 端 即 可 。 响 应 消息 缓存 机 
制 在 客户 端 频繁 访问 同一 个 目标 服务 器 时 ,会 极 大 提高 代理 服务 器 的 运行 效率 。 同 第 12 章 
的 应 用 代理 防火 墙 一 样 ,透明 代理 防火 墙 也 可 以 进行 网 页 缓存 机 制 的 扩展 。 

对 比 第 12 章 中 的 相关 扩展 开发 实践 ( 见 12. 4. 2) ,透明 代理 防火 墙 无 需 进行 目标 服务 
器 域名 与 IP 地 址 对 的 缓存 。 透 明代 理 防火 墙 不 是 从 客户 端 发 出 的 应 用 协议 数据 (如 
HTTP 的 请 求 消息 ) 中 提取 目标 服务 器 的 域名 ,而 是 从 套 接 字 选 项 中 直接 获得 目标 服务 器 
的 IP 地 址 ,因而 无 需 进 行 目标 服务 器 域名 与 IP 地 址 对 的 缓存 处 理 。 


13.5.5 透明 代理 防火 墙 的 HTTP 消息 变换 扩展 


一 些 企 事业 单位 使 用 的 代理 防火 墙 具 有 消息 变换 的 功能 ,透明 代理 防火 墙 中 的 消息 变 
换 一 般 分 为 如 下 两 种 形式 : 

。 请 求 消 息 的 变换 ” 即 透明 代理 防火 墙 为 了 某 种 应 用 目的 ,修改 来 自 客户 端的 请 求 消 
息 , 将 修改 后 的 请 求 消息 发 给 所 请 求 的 服务 器 。 最 常见 和 常用 的 修改 方式 是 URL 
的 重 定向 , 即 算 改 客户 端 请 求 的 URL, 相 当 于 将 客户 端的 请 求 重 定 向 到 新 的 URL。 
响应 消息 的 变换 ” 即 透明 代理 防火 墙 将 服务 器 返回 的 响应 消息 按照 某 种 约定 进行 
修改 ,将 修改 后 的 响应 消息 返回 给 客户 端 。 这 种 消息 变换 功能 的 典型 应 用 是 网 页 广 
告 的 植 人 , 即 修改 服务 器 返回 的 HTML 文件 等 ,在 其 中 的 相应 位 置 插入 小 广告 (如 
企业 的 商标 .产品 Logo 等 ) 等 显示 标签 ,然后 将 修改 后 的 HTML 文件 返回 给 客户 
端 。 客 户 端的 浏览 器 按 修改 后 的 网 页 文件 显示 网 页 时 , 植 和 人 的 广告 就 会 显示 在 网 页 
中 的 相应 位 置 。 


13.6 本 章 小 结 


本 章 详细 阐述 了 一 个 透明 代理 防火 墙 原型 系统 的 开发 过 程 和 实现 源 代码 的 过 程 ,该 原 
型 系统 重点 在 于 展示 透明 代理 防火 墙 的 工作 原理 ,以 及 透明 代理 防火 墙 的 基本 开发 方法 和 
实现 过 程 , 而 不 在 于 提供 一 个 功能 完善 的 透明 代理 防火 墙 系统 。 因 此 本 开发 实践 实现 的 原 
型 系统 功能 比较 简单 ,相当 于 一 个 简单 的 TCP 协议 代理 ,没有 对 应 用 层 协议 的 数据 内 容 进 
行 详细 的 分 析 和 控制 ,只 是 对 服务 器 IP 地 址 和 客户 端 IP 地 址 进行 简单 的 认证 和 控制 。 

本 章 最 后 讨论 了 在 本 原型 系统 基础 上 所 能 进行 的 具有 实际 安全 意义 的 扩展 开发 实践 ， 
具体 包括 原型 系统 的 多 规则 和 动态 配置 扩展 、 网 页 缓存 机 制 的 扩展 .对 HTTP 协议 和 FTP 
协议 的 分 析 和 控制 扩展 ,以 及 HTTP 消息 变换 功能 扩展 等 。 有 兴趣 的 读者 可 以 此 原型 系统 
为 基础 ,按照 13.5 节 中 的 内 容 进 行 相应 的 扩展 开发 实践 。 


习题 


1. 结合 本 音 透 明代 理 防 火 墙 原型 系统 的 实现 过 程 ,阐述 如 何 获得 客户 端 要 连接 的 目标 
服务 器 的 IP 地 址 和 端口 。 
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2. 结合 本 音 的 具体 实现 解释 Netfilter 框架 中 目标 地 址 重 定 向 的 基本 功能 ,重点 阐述 对 
回复 数据 的 处 理 。 

3. 本 章 实 现 透 明代 理 防 火 墙 原型 系统 时 ,主线 程 和 子 线程 分 别 完成 什么 任务 和 功能 ? 

4. 透明 代理 防火 墙 所 监听 的 端口 是 否 是 客户 端 发 出 的 数据 包 中 的 目标 端口 ? 如 果 不 
是 ,如 何 确定 该 监听 端口 ? 

5. 透明 代理 防火 墙 程序 由 于 异常 原因 终止 后 ,这 时 内 网 的 客户 端 能 否 连接 外 网 的 服务 
器 进行 网 络 通信 ? 

6. 从 所 能 代理 的 应 用 服务 类 型 上 看 ,本章 实现 的 透明 代理 防火 墙 与 第 12 章 实 现 的 应 
用 代理 防火 墙 是 否 存在 差别 ? 若 存在 ,具体 差别 是 什么 ? 

7. 简 述 轮 询 方式 ( 即 select 方式 ) 监 听 套 接 字 接口 数据 到 达 的 基本 原理 和 过 程 。 

8. 依据 透明 代理 防火 墙 的 实现 过 程 ,简要 说 明 该 防火 墙 为 何 无 法 实现 对 所 代理 客户 端 
进行 用 户 帐号 和 口令 的 认证 。 

9. 在 透明 代理 防火 墙 的 实现 中 ,是 否 应 如 应 用 代理 防火 墙 一样 , 需 要 对 服务 器 的 域名 
和 IP 地 址 对 进行 缓存 ,以 提高 透明 代理 防火 墙 的 代理 服务 效率 ? 为 什么 ? 
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章 主要 曾 述 如 何 实 现 端 口 扫描 工具 ,该 端口 扫描 工具 可 以 支持 全 连接 扫描 、 半 连接 扫 
描 以 及 FIN 扫描 。 下 面 首先 介绍 该 原型 工具 的 总 体 设计 ,然后 介绍 该 原型 工具 的 源 代码 实 
现 过 程 ,最 后 介绍 该 原型 工具 的 测试 ,以 及 在 此 原型 工具 的 基础 上 能 够 进行 的 扩展 开发 


14.1 原型 工具 的 总 体 设 计 


14.1.1 功能 及 实现 方案 


本 章 原 型 工具 主要 支持 三 种 类 型 的 端口 扫描 方式 , 即 全 连接 扫描 、 半 连接 扫描 (也 称 为 
SYN 扫描 ) 以 及 结束 连接 扫描 (也 称 为 FIN 扫描 )。 为 突出 端口 扫描 技术 的 基本 原理 ,原型 
工具 不 开发 用 户 友好 的 GUI 界面 , 即 直 接 运行 在 命令 行 模式 下 ,通过 命令 行 参 数 的 形式 选 
择 采 用 何 种 扫描 方式 进行 端口 扫描 ,同时 端口 扫描 的 结果 直接 输出 到 字符 终端 上 。 

三 种 端口 扫描 方式 的 实现 要 点 如 下 : 

。 全 连接 扫描 : 通过 connect() 函数 逐 个 连接 要 扫描 的 每 个 端口 ,本 原型 工具 采用 单线 

程 的 串 行 扫描 方式 ,因而 扫描 速度 较 慢 ,多 线程 并 行 扫描 留 给 读者 进行 相应 的 扩展 
开发 实践 。 
。 半 连接 扫描 : 用 Libpcap 和 Libnet 提供 的 相关 库 函 数 实现 底层 协议 报 文 的 直接 发 
送 和 接收 , 报 文 发 送 和 接收 用 两 个 线程 分 别 实现 ,一 个 线程 用 于 发 送 SYN 探测 报 
文 , 另 一 个 线程 用 于 接收 探测 响应 报 文 ,并 同时 分 析 被 扫描 端口 的 开放 情况 。 

。 FIN 扫描 : 采用 与 半 连 接 扫描 相似 的 实现 思路 , 即 基 于 Libpcap 和 Libnet 库 函 数 实 
现 底层 协议 报 文 的 直接 操纵 , 报 文 发 送 和 接收 用 两 个 线程 分 别 实现 ,一 个 线程 用 于 
发 送 FIN 探测 报 文 , 另 一 个 线程 用 于 接收 可 能 的 回复 报 文 。 


14.1.2 原型 工具 的 运行 方式 
本 章 端 口 扫描 原型 工具 共 包 含 五 个 参数 ,具体 执行 格式 为 : 


portscan scan_type interface IPaddr startport endport 


portscan 为 端口 扫描 工具 的 可 执行 程序 名 ,其 后 五 个 参数 的 含义 分 别 为 : 

。 scan_type: 扫描 类 型 ,有 三 种 扫描 方式 ,分 别 为 SOCKET_SCAN( 即 全 连接 扫描 )， 
SYN_SCAN( 即 半 连 接 扫 描 ) ,FIN_SCAN( 即 结束 连接 扫描 )。 

。 interface: 网 络 接 口 , 如 “eth0”、“lo” 等 。SYN 扫描 和 FIN 扫描 发 送 探 测 对 方 端口 的 
报 文 时 ,需要 指定 从 哪个 网 络 接口 发 出 。 该 参数 对 全 连接 扫描 是 无 意义 的 ,随便 指 
定 一 个 字符 串 即 可 。 
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IPaddr: 目标 主机 的 IP 地 址 ,用 于 指定 所 要 扫描 的 主机 。 该 原型 工具 只 能 对 一 个 具 
体 主 机 进行 端口 扫描 , 暂 不 支持 对 整个 网 段 的 扫描 ,对 整个 网 段 扫描 留 给 读者 进行 
扩展 开发 实践 。 

startport: 本 原型 工具 支持 对 一 个 端口 范围 的 扫描 ,该 参数 指定 了 扫描 端口 范围 的 
开始 端口 。 

endport: 指定 扫描 端口 范围 的 结束 端口 。 


14.2 原型 工具 的 实现 


本 原型 工具 借助 Libpcap 和 Libnet 函数 库 实现 对 TCP/IP 协议 底层 协议 处 理 的 直接 操 
纵 , 这 两 个 函数 库 的 功能 特点 和 接口 函数 在 6. 4. 2 节 中 已 详细 介绍 ,这 里 不 再 袭 述 。 


14.2.1 主要 头 文件 及 宏 定 义 


由 于 端口 扫描 工具 需要 调用 网 络 相关 的 库 函 数 和 结构 定义 ,因此 需要 包含 网 络 相 关 的 
头 文件 ,具体 为 : 

#include <net/if.h> 

# include < sys/socket.h> 

#include <netinet/in.h> 

在 实现 FIN 扫描 和 SYN 扫描 时 ,需要 调用 Libnet 库 函 数 生成 和 发 送 探 测报 文 ,调用 
Libpcap 库 函 数 来 获取 来 自 被 扫描 主机 的 响应 报 文 ,另外 该 工具 采用 两 个 线程 分 别 实现 发 
送 探测 报 文 和 接收 响应 报 文 。 因 此 需要 包含 相应 的 头 文件 ,具体 如 下 : 


# include < libnet.h> //Libnet 函数 库 头 文件 
#include < pcap.h> //Libpcap 函数 库 头 文件 
# include < pthread.h> // 线 程 函数 库 头 文件 


除 上 面 提 到 的 头 文件 外 ,还 需要 标准 1/O 函数 库 等 一 些 常规 性 的 头 文件 ,具体 为 ， 


# include < stdlib.h> 

# include < stdio.h> 

# include < string.h> 
#include <time.h> 

# include < unistd.h> 

# include < sys/types.h> 
include < sys/ioctl.h> 


本 开发 实践 涉及 的 宏 定义 包括 以 下 几 类 。 


define SOCKET_SCAN 1 // 全 连接 扫描 
#define SYN_SCAN “ // 半 连接 扫描 


define FIN_SCAN 3 // 结 束 连接 扫描 
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。 扫描 结果 。 
# define OPEN 1 
#define CLOSE 
# define UNKNOWN 3 


。 报 文 的 相关 标志 位 。 


#define IP_RF 0x8000 
#define IP_ DF 0x4000 
#define IP MF 0x2000 
#define IP_OFFMASK 0xlfff 


// 所 扫描 的 端口 处 于 打开 状态 
// 所 扫描 的 端口 处 于 关闭 状态 
// 所 扫描 的 端口 状态 未 知 


// 分 片 预 留 的 标志 位 

// 不 分 片 的 标志 位 

// 后 继 还 有 分 片 的 标志 位 
// 获 得 分 片 偏 移 的 掩 码 


下 面 是 TCP 标志 字段 的 相关 掩 码 位 : 


#define TH_FIN 0x01 
#define TH SYN 0x02 
#define TH RST 0x04 
#define TH_PUSH 0x08 
#define TH_ACK 0x10 
#define TH_URG 0x20 
# define TH _ ECE 0x40 
#define TH_CWR 0x80 


# define TH _FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR) 


。 获 取 协 议 信 息 的 参数 宏 。 


#define IP HL(ip) (((ip) -> ip_vhl) & 0x0f) // 获 取 后 4 位 , 即 IP 长 度 信息 
间 define TH _OFF(th) (((th) ->th_offx2 & 0xf0) >> 4) // 获 得 TCP 的 头 部 长 


14.2.2 主要 数据 结构 


本 工具 的 开发 主要 包含 四 种 数据 结构 : 保存 所 有 扫描 信息 的 结构 struct scaninfo_ 
struct,MAC 帧 头 结构 struct sniff_ethernet,IP 头 结构 struct sniff_ip,TCP 头 结构 struct 


sniff_tcp。 


。 扫描 信息 结构 。 


struct scaninfo_struct{ 
int scan_type; 
char interface[32]; 
struct in_addr ipaddr; 
char ipaddr_string[ 32]; 
int startport; 
int endport; 
int portnum; 


// 从 用 户 输入 的 命令 行 参 数 中 解析 出 来 的 扫描 参数 
// 扫 描 类 型 : SOCKET_SCAN/SYN_SCAN/FIN_SCAN 

// 网 络 接口 ,对 SOCKET_SCAN 扫描 无 意义 

// 被 扫描 目标 的 IP 地 址 

// 内 容 同 ipaddr, 但 为 点 分 格式 , 形 如 "192.168.47.1" 
// 扫 描 的 起 始 端口 

// 扫 描 的 结束 端口 

// 要 扫描 的 端口 数 : endport - startport +1 


// 下 面 只 用 于 SYN_SCAN/FIN_SCAN 扫描 类 型 的 字段 


int sourceport; 

pthread cond t * cond; 

int flags; 

// 下 面 两 个 字段 保存 扫描 结果 
int * portstatus; 

int alreadyscan; 


// 扫 描 用 的 源 端口 
// 用 于 通知 扫描 过 程 结束 
// 构 造 扫描 报 文 时 用 到 的 标志 位 


// 保 存 扫描 结果 ,初始 化 时 分 配 长 度 为 portnum 的 数组 空间 
// 已 经 扫描 完成 的 端口 数量 
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] 
。 帧 头 格式 。 


struct sniff ethernet { 
u_char ether dhost[ETHER ADDR LEN]; 
u_char ether shost[ETHER ADDR LEN]; 
u_short ether type; 

}; 


。IP 头 格式 。 


struct sniff _ ip { 
u char ip_vhl; 
u char ip_tos; 
u_short ip_len; 
u_short ip_id; 
u_short ip_off; 
uchar ip ttl; 
u_char ip_p; 
u_short ip_sum; 
struct in addr ip_src, ip_ dst; 


}; 
。 TCP 头 格式 。 


struct sniff_tcp { 
u_short th _sport; 
u_short th_dport; 
u_int32_t th _ seg; 
u_int32_t th _ack; 
u_char th offx2; 
u_char th flags; 
u_short th _win; 
u_short th_sunm; 
u_short th_urp; 

入 


14.2.3 函数 组 成 和 功能 设计 


// 目 标 Mac 地 址 
// 源 MAC 地 址 
// 上 层 协议 类 型 : IP、ARP 或 RARP 


// 高 4 位 为 理 协 议 版 本 , 低 4 位 为 IP 头 长 度 
// 服 务 类 型 

// 长 度 

// 分 片 标识 

// 高 3 位 为 分 片 标志 位 ,后 13 位 为 分 片 偏 移 量 
// 以 跳 (hop) 数 表示 的 IE 报 文生 存 周期 

// 上 层 协议 类 型 标识 : TCP(6) .UDP(17) 等 

// IP 校 验 和 

// 源 fp 地 址 和 目标 IP 地 址 


// 源 端口 号 

// 目 标 端 口号 

// 序 列 号 

// 应 答 号 

// 高 4 位 为 头 部 长 度 , 低 4 位 为 预 留 位 
// 高 2 位 为 预 留 位 , 低 6 位 为 标志 位 
// 窗 口 大 小 

// 校 验 和 

// 紧 急 指针 


按照 所 实现 的 具体 功能 ,本 开发 实践 中 的 源 代码 主要 包括 如 下 的 九 个 函数 。 


。 主 函数 。 函 数 原型 为 : 


void main(int argc, char * argv[]); 


该 函数 为 主 函数 ,控制 整个 工具 的 运行 流程 。 该 函数 首先 调用 函数 parse_scanpara() 
进行 命令 行 参数 的 解析 ,然后 根据 扫描 类 型 调用 不 同 的 扫描 处 理 函 数 ,如 为 全 连接 
扫描 ,调用 函数 socket_scan() , 若 为 SYN 扫描 或 FIN 扫描 , 则 调用 函数 synfin_scan()。 
扫描 结束 后 ,调用 函数 output_scanresult() 在 控制 台 上 显示 扫描 结果 。 


命令 行 解析 函数 。 函 数 原型 为 : 


int parse_scanpara( int argc, char *argv[],struct scaninfo struct * pparse result); 
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该 函数 被 主 函 数 调 用 , 主 函 数 直接 将 命令 行 输 入 以 函数 参数 形式 传递 给 该 函数 ,该 
函数 解析 命令 行 输入 ,将 解析 结果 保存 在 参数 pparse_result 指向 的 scaninfo_struct 
结构 体 中 。 

全 连接 扫描 函数 。 函 数 原型 为 : 


void socket_scan( struct scaninfo_struct * pscaninfo); 


该 函数 由 主 函 数 调 用 ,以 试图 建立 SOCKET 连接 的 方式 来 探测 被 扫描 主机 端口 的 
开放 情况 ,从 而 完成 基于 全 连接 的 端口 扫描 功能 。 
SYN/FIN 扫描 主 函数 。 函 数 原型 为 : 


void synfin scan(struct scaninfo struct * pscaninfo); 


由 于 采用 了 相似 的 扫描 原理 和 技术 手段 ,SYN/FIN 两 种 类 型 的 扫描 在 一 起 实现 。 
该 函数 由 主 函 数 调用 ,通过 创建 两 个 独立 的 线程 来 实现 端口 扫描 ,一 个 线程 用 于 发 
送 探测 报 文 , 另 一 个 线程 负责 接收 被 扫描 主机 的 响应 报 文 , 通 过 分 析 判 断 端口 的 
探测 报 文 发 送 线 程 函数 。 函 数 原型 为 : 


void * sendthread(void * args); 


该 函数 在 函数 synfin_scan() 创 建 子 线程 时 使 用 ,以 循环 的 形式 对 要 扫描 的 每 个 端口 
调用 函数 sendpacket() 来 生成 和 发 送 探 测报 文 。 

探测 报 文 发 送 函 数 。 函 数 原型 为 : 

void sendpacket( const char * ip_src, const char * ip_dst,u_ int16_t sp, u_int16 _t dp, u 
int8_t flags, char * interface); 

该 函数 被 函数 sendthread() 调 用 ,通过 Libnet 函数 库 提供 的 接口 , 按 扫描 类 型 的 不 
同 分 别 生成 和 发 送 不 同类 型 的 探测 报 文 。 

响应 报 文 接收 线程 函数 。 函 数 原型 为 : 


void * receivethread(void * args); 


该 函数 完成 Libpcap 库 相关 的 初始 化 工作 ,包括 抓 包 过 滤 规 则 的 设置 等 ,并 在 
Libpcap 处 理 框 架 中 注册 包 处 理 的 钧 子 函数 packet_handler() ,这 样 Libpcap 框架 每 
收 到 一 个 数据 包 就 会 主动 调用 响应 报 文 处 理 函 数 packet_handler() 。 
响应 报 文 处 理 函数 。 函 数 原型 为 : 

void packet_handler(u char * args,const pcap_pkthdr * header,const u_char * packet); 

该 函数 被 Libpcap 框架 自动 调用 ,Libpcap 框架 在 每 收 到 一 个 目标 端口 为 扫描 源 端 
口 的 数据 包 时 ,都 会 调用 该 处 理 函数 。 该 函数 依据 收 到 的 报 文 ,来 判断 被 扫描 主机 
的 相应 端口 是 否 打开 。 


void output_scanresult(struct scaninfo_struct scaninfo); 


该 函数 被 主 函 数 调用 ,用 于 输出 端口 扫描 的 结果 。 
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上 述 函 数 间 的 调用 或 引用 关系 如 图 14-1 所 示 。 


证 函数 


main 


Ne 


命令 行 解析 吃 数 | | 全 连接 扫描 商 数 ，| SYN/FIN 扫 撕 两 数 | | 洒 描 结果 输出 函数 
parse_scanpara socket scan synfin scan output_scanresult 


Pe 


探测 报 文 发 送 线 程 函 数 响应 报 文 接收 线程 函数 
sendthread receivethread 
探测 报 文 发 送 函 数 响应 报 文 处 理 丙 数 
sendpacket packet_ handler 


图 14-1 端口 扫描 工具 中 的 函数 调用 或 引用 关系 


14.2.4 ”函数 源 代码 与 注释 


1. 主 函 数 
int main( int argc, char *argv[]){ 
struct scaninfo_struct scaninfo; // 用 于 保存 扫描 信息 
if (parse_scanpara(argc, argv, &scaninfo)) { // 进 行 参数 解析 ,结果 放 在 scaninfo 
printf("Usage % s SOCKET SCAN/SYN_SCAN/FIN_SCAN interface IPaddr startport endport", 
argv[0]); // 提 示 正 确 的 命令 行 格式 
exit(1); 


} 
if (scaninfo. scan type == SOCKET SCAN) 


socket_scan(&scaninfo); // 调 用 实现 全 连接 扫描 的 函数 
else 
if ((scaninfo. scan type == SYN_SCAN ) || (scaninfo. scan type == FIN_SCAN)) 
synfin_scan(&scaninfo); // 调 用 实现 SYN 扫描 和 FIN 扫描 的 函数 
else { 
printf("Unsupported scan type! \n"); // 提 示 扫 描 类 型 输入 错误 
exit(1); 
} 
output_scanresult (scaninfo); // 输 出 扫描 结果 


} 
2. 命令 行 解析 函数 


int parse_scanpara(int argc, char *argv[],struct scaninfo _ struct * pparse result){ 

if (argc != 6) { // 检 查 参数 个 数 

printf("The count of parameters error! \n"); 

return 1; 
} 
// 解 析 扫描 类 型 
if (!strcmp(argv[1],"SOCKET SCRN" ) ) 

pparse_result 一 > scan type = SOCKET SCAN; 

else 
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下 


if (!strcmp(argv[1], "SYN_SCAN")) 
pparse result -> scan type = SYN_SCAN; 
else 
if (!strcmp(argv[1],"FIN SCAN")) 
Pparse result —> scan type = FIN_SCAN; 
else{ 
printf("An Unsupported scan tyep! \n"); 
return 1; 
} 
strcpy(pparse_result -> interface, argv[2]); // 解 析 接 口 类 型 
strcpy(pparse_result -> ipaddr_string, argv[3]); // 解 析 IP 地 址 
if (inet_aton(argv[3], &pparse_result ->ipaddr) ==0 ) { // 转 化 为 32 位 IP 地 址 
printf("IPaddr format error! please check it! \n"); 
return 1; 
. 
pparse_result 一 > startport = atoi(argv[4]); // 解 析 起 始 端口 
pparse_result 一 > endport = atoi(argv[5]); // 解 析 结 束 端 口 
// 计 算出 要 扫描 的 端口 数量 
Pparse_result 一 > portnum = pparse_result 一 > endport — pparse result -> startport + 1; 
pparse_result ->alreadyscan = 0; // 初 始 化 已 经 扫描 的 端口 数 
// 分 配 存储 空间 , 以 供 存放 每 个 端口 的 扫描 结果 
pparse_result 一 > portstatus = (int *) malloc(pparse result—> Portnum * 4); 
for (int i = 0; i < pparse result—> portnum; i++) 
pparse_result -> portstatus[i] = UNKNOWN; // 初 始 化 每 个 端口 的 扫描 结果 
// 设 置 扫描 标志 ,在 生成 端口 探测 报 文 时 会 用 到 该 标志 
if (pparse_result 一 > scan type == SYN_SCAN) 
pparse_result -> flags = TH_SYN; 
else 
if (pparse_result 一 > scan type == FIN_SCAN) 
pparse result ->flags = TH _FIN; 
return 0; 


3. 全 连接 扫描 函数 


void socket_scan( struct scaninfo_struct * pscaninfo){ 


for (int i = pscaninfo—> startport; i <= pscaninfo 一 > endport; i++){ 
// 每 次 循环 扫描 一 个 端口 
struct sockaddr_in addr; 
memset(&addr, 0, sizeof(addr)); 
addr. sin family = AF_INET; 


addr. sin_port = htons(i); // 设 置 扫描 端口 
inet_pton(AF_INET, pscaninfo—> ipaddr string, &addr. sin addr); // 目 标 IP 地 址 
int sock = socket(AF_INET, SOCK_STREAM, 0); // 创 建 套 接 字 
if (sock == -1) 1{ // 套 接 字 创 建 不 成 功 ,提示 错误 
printf("create socket error! \n"); 
return ; 
} 
// 对 要 扫描 的 端口 发 起 socket 连接 
int retval = connect(sock, (const struct sockaddr * )(&addr), sizeof(addr)); 
if (retval == 0) { // 连 接 成 功 ,表明 端口 是 打开 的 


pscaninfo -> portstatus[i— pscaninfo 一 > startport] = OPEN; 
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' 


closel( sock); // 关 闭 所 建立 的 连接 

} 

else // 连 接 失 败 ,表明 端口 是 关闭 的 
pscaninfo -> portstatus[i— pscaninfo—> startport] = CLOSE; 


4. SYN/FIN 扫描 函数 


void synfin scan(struct scaninfo struct * pscaninfo){ 


. 


pthread t s_thread; // 发 包 线程 变量 
pthread t r_thread; // 收 包 线程 变量 
pthread_cond_t cond; // 线 程 结 束 条 件 
pthread mutex t mutex; // 用 户 线程 同步 信号 
struct timeval now; // 保 存 当 前 时 间 的 变量 
struct timespec to; // 保 存 扫 描 超 时 时 间 的 变量 
// 变 量 初始 化 

pthread mutex init(g&mutex, NULL); // 变 量 初始 化 
pthread_cond_init(&cond, NULL); // 变 量 初始 化 
pscaninfo 一 > cond = &cond; 

srand(time( NULL)); // 重 置 随 机 种 子 


pscaninfo - >sourceport = rand() % 2000 + 2000; /* 在 指定 范围 (可 自行 调整 ) 随 机 生成 一 
个 源 端 口 ,用 作 扫 描 源 端口 * / 

// 创 建 一 个 接收 来 自 对 方 主 机 响应 报 文 的 线程 

pthread_create(&r_thread，NULL，receivethread，(void * )(pscaninfo) ) ; 


usleep(200000) // 等 待 接收 线程 准备 接收 响应 报 文 

pthread_create(&s_thread，NULL，sendthread，(void * )(pscaninfo)); /* 创建 一 个 发 送 扫描 
报 文 的 线程 * / 

pthread_ join(s_thread, NULL); // 等 待 发 送 报 文 线程 结束 

// 设 置 扫描 超时 时 间 


gettimeofday( &now, NULL); 

to.tv_sec = now.tv_sec; 

to.tv_nsec = now.tv usec * 1000; 

to. tv_sec += 10; // 该 值 可 按 估算 扫描 时 间 自 行 设 定 
pthread_cond_timedwait(&cond, &mutex, &to); // 等 待 接收 线程 结束 

// 释 放 资 源 

pthread_cancel(r_thread); 

pthread_cond_destroy( &cond); 

pthread mutex destroy(&mutex); 


5. 探测 报 文 发 送 线程 函数 


void * sendthread(void * args){ 


struct scaninfo_struct * pscaninfo = (struct scaninfo struct * )args; 


char src_ip[16]; // 用 于 保存 源 IP 地 址 

struct ifreq ifr; // 用 于 保存 网 络 接口 和 对 应 的 IP 地 址 信息 
int sock; // 套 接 字 

int i; // 循 环 变量 

sock = socket(AF_INET, SOCK_DGRAM, 0); // 创 建 套 接 字 

if (sock == -1) { // 无 法 创建 socket 


printf("Can not get local ip address \n"); 
exit(1); 
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} 


} 
// 调 用 ioctl 获得 指定 网 络 接口 的 IP 地 址 
strncpy(ifr. ifr_name，pscaninfo-> interface，IFNRMSIZ); // 设 置 接口 名 称 


证 (ioctl(sock, SIOCGIFADDR, &ifr) == -1) { // 无 法 获得 网 络 接口 的 IP 地 址 
printf("Can not get local ip address \n"); 
exit(1); 


i 

struct sockaddr_ in sin; 

memecpy(&sin, &ifr. ifr addr, sizeof (sin)); // 复 制 出 地 址 结构 

// 转 换 成 点 分 形式 的 字符 串 地 址 格式 

const char * tmp = inet_ntoa(sin. sin addr); 

strncpy(src_ip, tmp, 16); 

// 发 送 探测 报 文 

for (i = pscaninfo 一 > startport; i <= pscaninfo 一 > endport; i++) 
sendpacket (src_ip, pscaninfo ~ > ipaddr string, pscaninfo— > sourceport, i, pscaninfo 
一 > flags, pscaninfo— > interface); 

return NULL; 


6. 探测 报 文 发 送 函 数 


int sendpacket (const char * ip_src, const char * ip_dst, u_int16_t srcport, u_int16_t 
dstport, u int8 t flags, char * device){ 


libnet t *1; 
char errbuf[LIBNET_ERRBUF_SIZE]; // 出 错 缓冲 区 ,用 于 获取 错误 信息 
int ack; 


1 = libnet_init(LIBNET_RAW4，device，errbuf); // 初 始 化 一 个 Libnet 句柄 
if (1 == NULL) { 

printf("libnet init: %s\n", errbuf); 

libnet destroy(1); 

return 1; // 返 回 失败 标志 
. 
/* 设 置 TCP 头 中 的 确认 序列 号 ,如 为 SYN 包 , 则 确认 序列 号 为 0, 否则 设 随 机 值 即 可 * / 
if (flags == TH_SYN) 

ack = 0; 
else 

ack = rand() % 200000 + 200000; 
// 按 指定 参数 构造 一 个 TCP 协议 块 ,每 个 参数 含义 可 具体 参看 Libnet 库 函 数 指南 
libnet ptag _t tcp tag = libnet _ build tcp( 


srcport, // 源 端口 

dstport, // 目 标 端口 

rand() % 200000 + 200000, // 随 机 生成 一 个 TCP 序列 号 

ack, // 设 置 确认 序列 号 ACK 

flags, /* 设 置 TCP 报 文 的 控制 标志 ,可 为 TH_URG、TH_ACK、 
TH_PSH、TH_RST、TH_SYN TH_FINx / 

rand() % 3000 + 5000, // 设 置 window 大 小 ,为 一 随机 值 

0,， // 设 置 校 验 和 sum 为 0, 标 明 由 协议 来 计算 校 验 和 

0， // 设 置 URG 指针 

LIBNET_TCP_H, // 设 置 TCP 报 文 长 度 

NULL, // 设 置 TCP 报 文 的 payload 内 容 

0, // 设 置 payload 的 长 度 


1, // 设 置 Libnet 句柄 
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0 // 设 置 Libnet 的 id 
); 
if (tcp tag == —1){ // 构 造 失败 
printf("building tcp header error \n "); 
libnet_ destroy(1); 
return 1; // 返 回 失 败 标志 
} 
// 按 指定 参数 构造 一 个 IP 协 议 块 
libnet ptag t ipv4 tag = libnet build ipv4( 
LIBNET_IPV4_H + LIBNET TCP_H， // 设 置 报 文 长 度 


0, // 设 置 TOS 

0, // 设 置 P 的 标识 也 

0, // 设 置 I 的 分 片 标志 frag 

64, // 设 置 TTL 

IPPROTO_TCP, // 设 置 协议 类 型 

0, // 设 置 校 验 和 为 0, 由 协议 计算 校 验 和 


libnet_name2addr4(1, (char * )ip_src, LIBNET_DONT_RESOLVE),， // 设 置 源 IP 地 址 
libnet_name2addr4(1, (char * )ip_dst，LIBNET_DONT_RESOLVE)， // 设 置 目 标 TP 地址 


NULL, // 设 置 IP 报 文 的 payload 
0, // 设 置 payload 的 长 度 

1, // 设 置 Libnet 句柄 

0 // 设 置 Libnet 的 id 


); 

if (ipv4_tag == 一 1) { // 构 造 失败 
printf("building ipv4 header error \n"); 
libnet_destroy(1); 


return 1; // 返 回 失败 标志 
} 
int retval = libnet write(1); // 发 送 所 产生 的 数据 包 
if (retval == 一 1){ // 发 送 失 败 


printf("sending packet error"); 
libnet destroy(1); 
return 1; // 返 回 失 败 标志 
} 
libnet_destroy(1); 
return 0; // 返 回 成 功 标志 
} 


7. 响应 报 文 接收 线程 函数 


void * receivethread(void * args){ 
struct scaninfo_struct * pscaninfo = (struct scaninfo_ struct * )args; 
bpf_u_int32 net; // 存 储 网 络 号 的 变量 
bpf_u_int32 mask; // 存 储 子 网 掩 码 的 变量 
char errbuf[ PCAP ERRBUF SIZE]; 
// 获 得 指定 网 络 接口 的 网 络 号 和 子 网 掩 码 
pcap_lookupnet (pscaninfo— > interface, &net, &mask, errbuf); 
pcap_t * handle; 
// 获 得 用 于 捕获 网 络 数据 包 的 数据 包 捕获 描述 字 , 相当 于 初始 化 Libpcap 框架 
handle = pcap_open_ live(pscaninfo 一 > interface, 100, 1, 0, errbuf); 
if (handle == NULL) { // 无 法 初始 化 Libpcap 

printf("pcap open device failure \n"); 
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} 


return NULL; 

} 

/* 计 算出 过 滤 规 则 串 , 这 里 只 需 关心 协议 类 型 为 TCP 且 目 标 端 口 为 pscaninfo 一 > sourceport 的 
报 文 ,因为 发 出 的 扫描 报 文 源 端口 为 pscaninfo - > sourceport, 被 扫描 主机 回应 报 文 的 目标 
端口 是 pscaninfo -> sourceport */ 

char filter[100] = "tcp port "; 

char tmp[ 20]; 

snprintf(tmp, sizeof(tmp), "%d", pscaninfo—> sourceport); 

strcat(filter, tmp); 

strcat(filter, " and src host "); 

strcpy(tmp, pscaninfo — > ipaddr_string); 

strcat(filter, tmp); 

struct bpf_program fp; // 过 滤器 变量 

int retval = 0; 

retval = pcap_compile(handle, &fp, filter, 0, net); // 将 过 滤 规 则 串 编译 到 过 滤器 中 

if (retval == 一 1) 

return NULL; 
retval = pcap_setfilter(handle, &fp); // 设 置 编译 好 过 滤 规 则 串 的 过 滤器 
if (retval == 一 1) 

return NULL; 

pcap_loop(handle, 0, packet_handler,，(u_char * ) pscaninfo); /* 设置 Libpcap 框架 的 回调 

函数 packet_handler, Libpcap 框架 每 收 到 一 个 包 , 都 会 调用 该 函数 * / 

return NULL; 


8. 响应 报 文 处 理 函 数 


void packet_handler(u_char * args,const pcap_pkthdr * header,const u_char * packet){ 


struct scaninfo_struct * pscaninfo = (struct scaninfo_struct * )args; // 获 得 扫描 信息 结构 


int SIZE_ETHERNET = 14; // 以 太 帧 头 长 度 
struct sniff_ethernet * ethernet; // 以 太 帧 指针 
struct sniff_ip * ip; //IP 数据 包 指 针 
struct sniff tcp * tcp; //TCP 数据 包 指 针 
u_int size_ip; // 保 存 IP 数据 包 长 
u_int size_tcp; // 保 存 TCP 数据 包 长 
ethernet = (struct sniff ethernet * )(packet); // 指 向 以 太 帧 
ip = (sniff_ip * )(packet + SIZE_ETHERNET) ; // 跳 过 帧 头 , 指 向 IP 数据 包 
size_ip = IP HL(ip) * 4; // 获 得 IP 数据 包 的 长 度 
if (size_ip < 20) { // 到 数据 包 长度 错 误 
printf("Invalid IP header length: %d bytes \n", size_ip); 
return; 


tcp = (struct sniff tcp * )(packet + SIZE ETHERNET + size ip); /* 跳 过 帧 头 和 IP 头 , 指 


向 TCP 数据 报 文 * / 
size tcp = TH OFF(tcp) * 4; //TCP 报 文 的 长 度 
if (size_ tcp < 20) { //TCP 报 文 长 度 错误 
printf("Invalid TCP header length: % d bytes \n",size tcp); 
return; 
int srcport = ntohs(tcp 一 > th sport); // 获 得 响应 报 文 的 源 端 口 
int dstport = ntohs(tcp—> th dport); // 获 得 响应 报 文 的 目标 端口 


// 分 情况 处 理 所 收 到 的 IP 包 ,以 断定 对 方 主机 上 的 目标 端口 是 否 打 开 
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if (pscaninfo—> scan type == SYN_SCAN){ // 车 为 SYN 扫描 
if (dstport == pscaninfo—> sourceport){ 
if (tcp->th flags == (TH_SYN | TH_ACK))/* 打开 的 端口 常常 回复 包含 SYN ACK 标 


志 的 报 文 */ 
pscaninfo -> portstatus[ srcport — pscaninfo—> startport] = OPEN; 
else 
证 ((tcp->th flags & TH_RST) != 0) /* 关 闭 的 端口 常常 会 回复 包含 RST 标 志 的 
报 文 */ 
pscaninfo- > portstatus[ srcport - pscaninfo- > startport] = CLOSE; 
else // 回 复 的 报 文 不 含 上 面 的 标志 
pscaninfo -> portstatus[ srcport ~ pscaninfo—> startport] = UNKNOWN; 
pscaninfo—> alreadyscan++ ; // 完 成 对 一 个 端口 的 扫描 
| 
Jelse 
if (pscaninfo—> scan type == FIN_SCAN){ // 若 为 FIN 扫描 


if (dstport == pscaninfo 一 > sourceport){ 
if ((tcp->th_flags&TH RST) != 0)  // 包 含 RST 标 志 的 包 
pscaninfo -> portstatus[ srcport - pscaninfo 一 > startport] = CLOSE; 
else ”// 收 不 到 包含 RST 标志 的 包 并 不 意味 端口 开放 
pscaninfo - > portstatus[ srcport - pscaninfo— > startport] = UNKNOWN; 
pscaninfo 一 > alreadyscan++ 
} 
if (pscaninfo—>alreadyscan >= pscaninfo 一 > portnum) 
pthread_cond_signal(pscaninfo 一 > cond); // 扫 描 结束 ,唤醒 主线 程 
3 


9. 扫描 结果 输出 函数 


void output_scanresult(struct scaninfo_struct scaninfo){ 
printf(" Scan result of the host( % s):\n", scaninfo. ipaddr_ string); 
printf(" port status\n"); 
for (int i = 0; i < scaninfo.portnum; i++) { 
// 每 次 循环 输出 一 行 ,对 应 一 个 端口 的 状态 
if (scaninfo. portstatus[i] == OPEN) // 打 开 状态 
printf(" % d open\n", scaninfo. startport + i); 
else 
if (scaninfo. portstatus[i] == CLOSE)  // 关 闭 状态 
printf(" %dclose\n", scaninfo. startport + i); 
else 
printf(" $% d unknown\n", scaninfo. startport + i);// 未 知 


14.3 编译、 运行 和 测试 


在 14. 2 节 完 成 原型 工具 的 代码 编程 实现 后 ,就 可 以 对 该 原型 工具 进行 测试 ,在 运行 测 
试 之 前 需要 将 源 代 码 编译 成 可 执行 程序 。 
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14.3.1 端口 扫描 工具 的 编译 
端口 扫描 工具 的 源 代码 由 两 个 文件 组 成 : portscan. h 和 portscan. c, 前 者 包含 了 14. 2. 2 中 


定义 的 结构 体 ( 包 括 struct scaninfo_struct, struct sniff_ethernet, struct sniff_ip 及 struct 
sniff_tcp) 和 宏 定义 ,后 者 包含 了 14. 2. 4 节 中 定义 的 九 个 函数 。 

如 果 系统 中 还 没有 安装 Libnet 函数 库 和 Libpcap 函数 库 , 在 编译 端口 扫描 程序 之 前 ， 
需要 在 网 上 下 载 和 安装 这 两 个 函数 库 。 安 装 完 相 关 的 函数 库 后 ,就 可 用 gcc 编译 器 对 源 代 
码 进行 编译 。 在 编译 的 时 候 需 要 指定 所 用 到 的 三 个 库 , 即 Libpthread、Libnet 和 Libpcap， 
编译 命令 如 下 : 


gcc - o portscan - I/usr/include -lnet -lpcap -lpthread portscan.c 
成 功 编译 后 ,就 可 以 在 当前 目录 下 得 到 端口 扫描 工具 的 可 执行 文件 portscan。 
14.3.2 对 Linux 系统 的 扫描 测试 


运行 所 实现 的 端口 扫描 工具 ,对 本 机 (IP 地 址 为 202. 119. 47. 183 ,操作 系统 为 Linux) 
进行 三 种 扫描 类 型 的 测试 ,扫描 的 端口 范围 为 20 一 30。 
。 全 连接 扫描 。 执 行 命令 : 


./portscan SOCKET SCAN lo 192.168.47.183 20 30 
运行 结果 如 图 14-2 所 示 。 


root@IDServer:~/book_experiments/scanport/C 加 | 加 | 辐 


文件 提问 辑 企 ) 下 看 疤 端 (D 标签 外 帮助 他 
[root@lDServer C]# 
[root@lDServer C]# 
Scan result ot the hos 


DI 


‘© -1pcap -inet -1pthrcad 
lo 192.168.47.183 20 30 


En 

[root@lDServer C]# 征 
图 14-2 对 Linux 系统 的 全 连接 扫描 测试 结果 

。 半 连接 扫描 。 执 行 命令 : 

./portscan SYN_SCAN 1o 192.168.47.183 20 30 

运行 结果 如 图 14-3 所 示 。 

。 FIN 扫描 。 执 行 命令 : 

./portscan FIN SCAN 10192.168.47.183 20 30 


运行 结果 如 图 14-4 所 示 。 
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TREETTT7 辐 


文件 和 疾 笑 ) 坦 得 (W 尘 端 人 D 标签 和 @) 帮助 人) 


[root6IDServer C]# ./portscan SYN_SCAN lo 192.168.47.183 20 30 


Scan result ot the host(192.168 3): 
port status 
20 lose 
21 close 
open 
close 


close 


30 
[rootaIDserver C]# 四 


图 14-3 对 Linux 系统 的 半 连 接 扫描 测试 结果 


| root@lDServer:~/book experiments/scanport/C ”| 于 gw | ~/book | root@lDServer:~/book experiments/scanport/C ”| 于 gw | A 


文件 但 ” 锦 强 由 查看 交谈 (D) 标签 @) 亲 助 录 
[rootelDServer C]# ./portscan FIN_SCAN 10 192.168.47.183 20 30 
Scan result ot the host(192,168.47,183): 
port status 
20 Sle 


unknown 


[root@IDServer ci 


14-4 对 Linux 系统 的 FIN 扫描 测试 结果 


14.3.3 对 Windows 系统 的 扫描 测试 


运行 所 实现 的 端口 扫描 工具 ,对 另 一 台 测 试 主机 (IP 为 202. 119. 47. 240, 操 作 系 统 为 
Windows 2000) 进 行 三 种 扫描 类 型 测试 ,扫描 的 端口 范围 为 130 一 140 端口 。 
。 全 连接 扫描 。 执 行 命令 : 


./portscan SOCKET SCAN eth0 192.168.47.240 130 140 


运行 结果 如 图 14-5 所 示 。 


Server:~/book_experime 


文件 但 六 辑 息 直 乔 人 终 庙 WD 标签 BB》 帮助 由 ) 
[root@lDServer C]# gcc ~o portscan portscan.c -1pcap -1 
[rootélDServer C]# ./portscan SOCKET_SCAN ethO 192.168. 
Scan result ot the host(192.168.47.240): 
port status 
close 
close 
close 
close 
close 
open 
close 
close 
close 
open 
close 


DI 


[rooteIDServer CE 


14-5 对 Windows 系统 的 全 连接 扫描 测试 结果 
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。 半 连接 扫描 。 执 行 命令 : 
./portscan SYN_SCAN eth0 192.168.47. 240 130 140 


运行 结果 如 图 14-6 所 示 。 


root@IDServer:~/book experiments/scanport/C 


文件 位 纺 强 全 ) 查看 人 党 端 匀 ” 标签) 帮助 由 


[root6IDServer C]# ./p SYN_SCAN ethd 192.168.47.240 130 140 
Scan result ot the ho: 168.47.240): 
port 
130 
131 
132 
133 
134 
135 
136 


图 14-6 对 Windows 系统 的 半 连 接 扫描 测试 结果 
。 FIN 扫描 。 执 行 命令 : 
./portscan FIN_SCAN eth0 192.168.47. 240 130 140 
运行 结果 如 图 14-7 所 示 。 
root@IDServer:~/book experiments/scanport/C 于 | 硬 | 磺 
文件 此， 编辑 企 ) 查看 久 ， 洛 端 习 标签 但 ) 帮助 ti) 
[root®IDServer C]# ./portscan FIN_SCAN ethO 192.168.47,240 130 140 


F 
Scan result .168.47.240): 
port 


140 
TrootelDserver c]= 目 


图 14-7 对 Windows 系统 的 FIN 扫描 测试 结果 


对 比 对 Windows 系统 的 三 种 扫描 方式 ,FIN 扫描 不 能 成 功 扫描 出 开放 的 端口 ,这 印证 了 
Windows 系统 和 Linux 系统 在 TCP/IP 协议 实现 中 对 收 到 FIN 报 文 的 处 理 方式 是 不 同 的 。 

注意 : 在 对 目标 主机 进行 扫描 测试 的 时 候 ,要 注意 目标 主机 的 个 人 防火 墙 配 置 情况 ,个 
人 防火 墙 能 够 干扰 端口 扫描 工具 的 执行 ,使 得 扫描 出 的 端口 开放 情况 与 实际 的 端口 开放 情 
况 不 一 致 。 


14.4 扩展 开发 实践 


本 开发 实践 中 完成 的 端口 扫描 工具 重点 在 于 展示 端口 扫描 技术 ,在 功能 方面 还 存在 一 
些 不 足 , 可 以 基于 本 章 原型 工具 进行 以 下 方面 的 扩展 开发 实践 。 
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14.4.1 UDP 扫描 扩展 实现 


上 面 实现 的 三 种 扫描 方式 只 针对 TCP 协议 的 端口 进行 扫描 ,不 能 实现 对 UDP 端口 的 
扫描 。 要 对 目标 主机 的 UDP 端口 进行 扫描 ,需要 向 被 扫描 主机 的 端口 发 送 UDP 探测 包 。 
与 前 面 的 扫描 方式 不 同 , 在 UDP 端口 扫描 中 ,被 扫描 的 主机 并 不 会 返回 传输 层 协议 的 报 
文 ,如 包含 各 种 标志 的 TCP 报 文 ,而 是 返回 ICMP 类 型 的 报 文 , 这 些 ICMP 类 型 的 报 文 一 般 
不 能 通过 正常 的 协议 处 理 过 程 到 达 应 用 层 。 要 获得 目标 主机 响应 的 ICMP 报 文 ,需要 采用 
原始 套 接 字 编 程 ,或 者 使 用 如 前 面 开 发 实践 中 SYN 扫描 或 FIN 扫描 中 用 到 的 Libpcap 函 
数 工 具 库 。 


14.4.2 全 连接 扫描 的 多 线程 扩展 


全 连接 扫描 通过 SOCKET 接口 的 connect 函数 调用 是 否 成 功 建立 TCP 连接 ,来 判断 
被 扫描 主机 的 端口 打开 情况 。 发 送 端 在 发 送 SYN 报 文 试图 与 对 方 建立 TCP 连接 后 ,如 果 
对 方 立即 回复 SYN 十 ACK 响应 报 文 , 则 连接 建立 成 功 。 即 使 暂时 收 不 到 对 方 发 送 的 回应 
报 文 (对 方 主机 不 存在 或 端口 没 打开 等 ) ,发 送 端的 TCP 协议 也 会 等 待 一 段 时 间 才 会 认定 对 
方 没有 回复 报 文 ,并 向 应 用 层 返 回 连接 建立 不 成 功 ,以 应 对 报 文 传输 过 程 中 的 网 络 延 迟 。 在 
用 原型 工具 实现 端口 扫描 时 ,需要 依次 对 每 个 端口 进行 扫描 ,通过 连接 是 否 建立 成 功 判 断 完 
一 个 端口 的 状态 后 ,再 进行 下 一 个 端口 的 扫描 。 如 果 扫 描 的 端口 范围 比较 大 ,而 且 所 扫描 到 
的 端口 大 都 是 关闭 的 (事实 上 也 是 如 此 ,实际 系统 中 开放 的 端口 要 远 少 于 关闭 端口 ) ,扫描 的 
时 间 就 会 很 长 。 提 高 扫描 效率 的 基本 方法 是 创建 多 个 线程 对 多 个 端口 同时 进行 扫描 ,将 要 
扫描 的 端口 平均 分 配给 每 个 线程 分 别 进行 扫描 ,因而 扫描 所 用 的 时 间 会 呈 比 例 缩减 ,从 而 大 
幅度 提高 端口 扫描 的 效率 。 


14.4.3 端口 扫描 原型 工具 的 扫描 功能 扩展 


具体 的 功能 扩展 包括 以 下 方面 : 

。 网 段 扫 描 ”上 面 开发 的 原型 工具 只 能 对 一 个 指定 主机 的 端口 范围 进行 扫描 ,不 能 对 
一 个 指定 的 网 段 进行 扫描 。 通 常 一 个 网 络 号 中 并 不 是 所 有 的 IP 地 址 都 被 真实 的 主 
机 占用 。 因 此 在 对 网 段 进行 扫描 时 ,最 好 能 够 用 ping 等 技术 手段 确定 要 进行 扫描 
的 IP 地 址 是 否 对 应 实际 的 机 器 ,这 样 既 可 以 提高 扫描 的 准确 性 ,也 可 以 加 快 扫描 的 
速度 。 

高 级 信息 扫描 功能 ”本章 实现 的 原型 工具 只 针对 目标 主机 的 端口 开放 情况 进行 了 
扫描 。 实 际 上 ,由 于 不 同 种 类 操作 系统 在 TCP/IP 协议 实现 和 应 用 服务 配置 方面 存 
在 一 些 细微 的 差别 等 原因 ,一 个 端口 扫描 工具 还 可 以 据 此 对 目标 主机 的 软件 配置 信 
息 进行 扫描 ,包括 操作 系统 类 型 及 版 本 数据 库 软件 及 版 本 等 。 例 如 ,通过 分 析 目 标 
主机 回复 ICMP 报 文 的 TTL 值 , 就 可 以 大 概 知道 该 主机 的 类 型 。 这 些 高 级 信息 扫 
描 有 助 于 发 现 更 多 的 安全 脆弱 性 。 
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14.5 本 章 小 结 


本 童 详细 阐述 了 一 个 端口 扫描 原型 工具 的 开发 过 程 和 实现 源 代码 ,该 原型 工具 能 够 对 
指定 目标 主机 的 端口 进行 扫描 ,获知 该 主机 的 端口 打开 状况 。 本 章 阐述 一 个 原型 工具 的 开 
发 实践 过 程 ,其 目的 不 是 在 于 实现 一 个 强大 、 完 善 的 端口 扫描 工具 ,而 是 在 于 通过 该 开发 实 
践 过 程 , 使 读者 对 端口 扫描 技术 以 及 脆弱 性 检测 有 更 深 一 步 理解 。 因 而 本 章 原 型 工具 的 功 
能 相对 简单 ,如 不 支持 多 线程 的 全 连接 扫描 等 ,有 兴趣 的 读者 可 以 在 此 原型 工具 基础 上 , 按 
照 14.4 节 中 的 内 容 进 行 下 一 步 的 端口 扫描 工具 开发 实践 。 


习 题 


1. 本 章 原型 工具 的 编程 中 使 用 了 哪些 函数 库 , 以 及 在 编译 过 程 中 如 何 指定 这 些 函 
数 库 ? 

2. 对 比 半 连 接 扫描 和 FIN 扫描 ,原型 工具 中 全 连接 扫描 效率 低下 的 根本 原因 在 于 什么 
方面 ? 

3. 半 连 接 扫 描 和 FIN 扫描 是 否 也 像 全 连接 扫描 一 样 , 需 要 进行 多 线程 扩展 以 提高 端口 
扫描 的 速度 ? 

4. 用 扫描 具体 实例 的 方式 ,对 比 说 明 半 连接 扫描 和 FIN 扫描 的 扫描 结果 准确 性 。 

5. 对 同一 个 Windows 系统 进行 不 同方 式 的 端口 扫描 ,分 析出 现 图 14-6 和 图 14-7 不 同 
扫描 结果 的 原因 。 


第 15 章 弱 口 令 扫描 工具 的 原型 实现 


章 主 要 阐述 如 何 设计 和 编程 实现 一 个 简单 的 弱 口 令 扫 描 原 型 工具 。 下 面 首先 介绍 该 
原型 工具 的 总 体 设计 ,然后 介绍 该 原型 工具 的 源 代码 实现 过 程 ,最 后 介绍 该 原型 工具 的 测试 
以 及 在 此 原型 工具 基础 上 能 够 进行 的 扩展 开发 实践 。 


15.1 原型 工具 的 总 体 设 计 


本 章 实现 的 原型 工具 只 支持 对 Linux 操作 系统 的 弱 口令 扫描 ,针对 其 他 系统 (如 
Windows 操作 系统 ) 的 弱 口令 扫描 可 参照 本 原型 工具 进行 扩展 实现 (参见 15. 4 节 )。 


15.1.1 原型 工具 的 输入 


从 6.5 节 和 6.6 节 可 知 , 利 用 弱 口 令 扫 描 工 具 进 行 弱 口令 扫描 时 首先 需要 获得 两 类 信 
息 ,一 是 包含 密 文 口令 信息 的 passwd 文件 /shadow 文件 , 另 一 个 是 包含 潜在 口令 词 条 的 字 
典 文 件 。 

口令 信息 存放 在 passwd 文件 或 shadow 文件 中 ,这 两 个 文件 中 每 一 行 对 应 一 个 用 户 帐 
户 的 信息 。 在 这 两 个 文件 中 ,对 应 行 所 包含 的 数据 域 不 尽 相 同 , 但 前 两 个 域 的 内 容 是 一 样 
的 ,分 别 是 帐户 名 域 和 密 文 域 , 弱 口令 扫描 工具 只 需要 访问 这 两 个 数据 域 。 因 此 下 文 的 弱 口 
令 扫 描 原 型 工具 实现 中 ,并 不 会 刻意 区 分 是 passwd 文件 还 是 shadow 文件 。 为 阐述 方便 ， 
这 里 将 passwd 文件 和 shadow 文件 统称 为 shadow 文件 , 即 下 文 所 称 的 shadow 文件 是 广义 
的 ,也 涵盖 passwd 文件 在 内 。 

字典 文件 以 文本 文件 的 形式 存在 , 词 条 与 词 条 之 间 以 行 结束 符 分 割 , 即 每 一 行 对 应 一 个 
词 条 ,通过 C 语言 编程 以 字符 串 读 人 的 方式 就 能 依次 从 字典 文件 中 读 出 词 条 。 


15.1.2 口令 加 密 方式 


目前 大 部 分 Linux 系统 的 用 户口 令 都 是 采用 MD5 算法 进行 加 密 , 本 章 实现 的 弱 口 令 
扫描 原型 工具 暂 定 只 扫描 运用 MD5 加 密 算法 的 用 户口 令 。 在 Linux 系统 的 库 函 数 中 ,已 
经 实现 了 MD5 加 密 函 数 , 函 数 原型 为 char * crypt(char* key，char * salt) ,其 中 第 一 个 
参数 key 指向 要 加 密 的 内 容 , 第 二 个 参数 指向 一 个 salt 值 。 如 果 salt 值 的 内 容 是 以 $1$ 开 
始 的 字符 串 ,crypt 函数 则 采用 MD5 算法 对 key 指向 的 内 容 进 行 加 密 ,否则 将 采用 其 他 算法 
进行 加 密 , 加 密 后 的 密 文 保存 在 返回 值 指向 的 一 个 缓冲 区 中 。 值 得 注意 的 是 ,如 果 采 用 
MD5 加 密 算法 ,其 salt 值 也 包含 在 返回 值 指向 的 缓冲 区 的 起 始 部 分 ,也 就 是 说 在 返回 值 指 
向 的 缓冲 区 中 ,去 掉 其 起 始 部 分 的 salt 值 后 , 才 是 真正 的 加 密 密 文 。 


15.1.3 原型 工具 的 运行 方式 
本 章 实现 的 弱 口 令 扫 描 工 具 以 命令 行 方式 执行 ,能 够 以 命令 行 参数 的 形式 指定 shadow 
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文件 和 字典 文件 ,具体 运行 格式 为 : 
crack shadowfile dictionary 


crack 表示 原型 工具 的 可 执行 文件 名 ,shadowfile 用 于 指定 shadow 文件 ,dictionary 用 
于 指定 字典 文件 。 


15.2 原型 工具 的 实现 


15.2.1 头 文件 和 数据 结构 


本 原型 工具 的 源 代码 实现 中 ,需要 用 到 字符 串 、 基 本 输入 /输出 以 及 MD5 加 密 等 操作 ， 
需 包 含 相关 的 头 文件 ,具体 为 : 
#include < unistd.h> // 使 用 crypt 的 库 函 数 需要 包含 该 头 文件 
# include < stdio.h> 
# include < stdlib.h> 
#include < string.h> 
在 对 一 个 用 户 帐户 进行 弱 口 令 扫描 时 ,通常 需要 用 到 三 种 信息 , 即 用 户 的 帐户 名 .加密 
用 的 salt 值 以 及 口令 对 应 的 密 文 。 本 原型 工具 的 实现 中 为 这 三 种 信息 定义 了 一 个 结构 , 即 
userinfo_struct。 
struct userinfo_struct{ 
char user[128]; // 帐 户 名 
char salt[128]; // 加 密 用 的 salt 值 


char crypt_passwd[ 128]; // 口 令 对 应 的 密 文 
}; 


15.2.2 函数 组 成 和 功能 设计 
弱 口 令 扫描 工具 的 原型 实现 主要 由 三 个 函数 组 成 。 
。 口令 信息 行 解析 函数 。 函 数 原型 为 : 
int parse_shadowline(char * shadow line, struct userinfo_struct * parse_result); 
该 函数 从 参数 shadow_line 指向 的 shadow 文件 中 的 一 行 解析 出 用 户 帐 户 、salt 值 和 
密 文 口令 ,并 将 解析 出 的 信息 存放 在 参数 parse_result 指向 的 结构 体 中 。 
弱 口 令 扫描 函数 。 琐 数 原型 为 : 
int dict crack(FILE * dict fp, struct userinfo struct userinfo); 
该 函数 从 参数 dict_fp 指向 的 字典 文件 中 逐一 读 取 每 个 词 条 ,进行 MD5 加 密 , 并 将 
加 密 结果 与 参数 userinfo 中 存储 的 密 文 口令 进行 比 对 :如果 比 对 成 功 ,该 词 条 即 为 
该 帐户 的 明文 口令 。 
主 函 数 。 函 数 原型 为 : 


int main(int argc, char * argv[]); 
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该 函数 主要 完成 命令 行 参数 的 解析 ,并 执行 如 下 循环 : 从 shadow 文件 中 读 取 一 行 ， 
调用 函数 parse_shadowline() 从 中 解析 出 用 户 帐 号 、salt 值 和 密 文 口令 ,然后 调用 弱 
口令 扫描 函数 dict_cerack() 对 该 帐户 的 口令 进行 试探 ,如 图 15-1 所 示 。 


主 函 数 


main 


口令 信息 行 解析 函数 弱 口 令 扫描 函数 
parse_shadowline dict crack 


图 15-1 弱 口 令 扫 描 工 具 原 型 的 函数 调用 关系 


15.2.3 函数 源 代码 和 注释 
1. 口令 信息 行 解析 函数 


int parse_shadowline(char * shadow_line，struct userinfo_struct * parse result){ 


/* 口令 信息 行 解析 函数 ,返回 值 为 0 时 表示 解析 成 功 , 非 0 表示 该 行 的 内 容 格式 不 合 规范 ,解析 


失败 * / 
char * py # qi // 两 个 字符 指针 ,用 于 指向 shadow_line 缓冲 区 中 的 位 置 
if (shadow_line == NULL) { // 判 断 参数 的 合法 性 


printf("Error shadow line input! \n"); 
return -1; 
3 
p = shadow_line; 
q = strchr(p, ':'); /* 在 缓冲 区 中 查找 第 一 个 字符 :所 在 的 位 置 ,该 位 置 前 面 为 用 户 帐号 ,后 
面 为 口令 密 文 */ 
if (1q) { // 找 不 到 “: ?字符 ,不 是 shadow 文件 标准 形式 的 一 行内 容 
printf("Error shadow file format! \n"); 
return -1; 
} 
strncpy(parse_result ->user,p,q-p); // 提 取 用 户 帐 号 ,gq- p 表示 帐号 长 度 
parse_result ->user[q-p] = '\0'; // 设 置 用 户 帐 号 字符 串 的 结束 标志 
p= qt+1l; // 跳 过 字符 “:”,p 指向 口令 密 文 域 的 起 始 位 置 
证 (strncmp (p,"$1$",3)!= 0){ /* 通 过 查看 密 文 域 的 起 始 符号 串 是 否 是 "$1$ ", 来 判定 
所 采用 的 加 密 算 法 是 否 是 MD5, 这 里 暂 定 仅 支 持 对 MD5 
加 密 口令 的 弱 口 令 扫 描 * / 
printf("Not encrypted by md5 algorithm. \n"); 
return -1; 
} 
q = strchr(p+3,'$'); // 跳 过 “$1$ ’ 三 个 字符 ( 即 p+3), 并 搜索 字符 $ ”, 即 salt 值 的 结束 位 置 
证 (!q) { /* 无 法 搜索 到 字符 “$ ', 即 salt 值 的 结束 位 置 ,缓冲 区 格式 错误 ,不 是 shadow 文件 
标准 形式 的 一 行内 容 * / 
printf("Error shadow file format! \n"); 
return — 1; 
} 
strncpy(parse_result -> salt,p,q-p+1); /x* 取 出 salt 值 ( 形 如 $1$ …$) 到 parse_ 
result 的 相应 字段 * / 
parse_result->salt[qa-p+1] = "'\0'; // 设 置 salt 值 的 字符 串 结束 标志 
p= qtl; //p 跳 过 ' $，' 
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q = strchr(p, ':'); // 搜 索 口 令 密 文 域 的 结束 标志 “ :”, 则 指针 p 和 9g 之 间 的 内 容 为 密 文 口令 
E(!q) { /* 无 法 搜索 到 字符 “:”, 即 密 文 域 的 结束 位 置 ,缓冲 区 格式 错误 , 可 能 不 是 shadow 文 
件 标准 形式 的 一 行内 容 * / 
printf("Error shadow file format! \n"); 
return -1; 
} 
strncpy(parse_result -> crypt_passwd, p,q 一 p); // 取 出 口令 密 文 到 parse_result 的 相应 字段 
parse result ~->crypt passwd[q—p] = '\0'; // 设 置 口令 密 文 的 结束 标志 
return 0; 
. 
2， 弱 口令 扫描 函数 
int dict_crack(FILE x dict fp, struct userinfo_struct userinfo) {// 扫 描 成 功 返回 1, 失败 返回 0 
char * md5_check; // 保 存 候选 词 条 加 密 结果 的 指针 
int success flag = 0; // 是 否 破译 成 功 的 标识 ,1 成 功 ,0 失败 
char one_word[ 256]; // 存 储 从 字典 中 读 出 的 一 个 词 条 


} 


char md5_code[256]; /x* 存储 用 户 信息 结 构 中 的 salt 值 和 口令 密 文 , 因为 加 密 函 数 返回 的 加 
密 结果 中 前 面包 含 了 salt 值 , 因 而 用 户 信息 结构 中 salt 值 和 口令 密 
文 需要 合并 起 来 ,再 与 加 密 函数 返回 的 加 密 结果 进行 比较 * / 
strcpy(md5_code, strcat (userinfo. salt, userinfo, crypt_passwd)); //salt 值 + 密 文 
fseek(dict_fp, 0, SEEK_SET); // 将 文件 读 指针 移 至 文件 的 开头 
while( (fscanf(dict fp,"%s",one word))!= EOF) { // 每 次 读 取 一 个 词 条 至 one_word 
md5_check = (char * )crypt(one_word,userinfo. salt); /* 对 读 出 的 词 条 ,利用 salt 值 
进行 加 密 , 结 果 保 存在 md5_check 指向 的 缓冲 区 中 * / 
if ( strcmp(md5_code,md5_check) == 0){ // 密 文 比较 


success flag = 1; // 设 置 成 功 标志 

printf("The passwd for user %s is %s\n",userinfo.user, one_word); /* 输出 扫描 
成 功 的 帐户 名 和 口令 * / 

break; // 扫 描 成 功 ,提前 退出 循环 


二 


return success_flag; 


3. 主 函 数 


int main(int argc, char * argv[]){ 
FILE * shadow_fp; //shadow 文件 指针 
FILE *dict_fp; // 字 典 文件 指针 
char shadow_line[256]; // 存 放 从 shadow 文件 中 读 取 的 一 行 
struct userinfo_struct userinfo;  // 存 放 用 户 信 息 ( 包 括 帐 号 ,salt 值 及 口令 密 文 ) 
int SUCCESS = 0; // 是 否 成 功 破解 的 标识 ,1 成 功 ,0 失败 


if (argc != 3){ /* 输 入 参数 检查 ,该 弱 口 令 扫 描 程 序 需 要 两 个 参数 ,argv[1] 表 示 shadow 文 
件 名 ,argv[2] 表 示 字 典 文件 名 */ 
printf("Input format error! Usage as:\n"); 
printf("%s shadow file dict file \n",argv[0]); 
exit(1); 
} 
证 ((shadow fp = fopen(argv[1],"r")) == NULL){ // 打 开 shadow 文 件 出 错 
printf("Cannot open the shadow file. \n"); 
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exit(1); 
} 
if ((dict fp = fopen(argv[2],"r")) == NULL){  // 打 开 字 典 文件 出 错 
printf("Cannot open the dict file. \n"); 
exit(1); 
} 
while ( (fscanf(shadow fp,"%s",shadow line))!= EOF) { /x 每 次 从 shadow 文件 中 读 取 一 
行 , 直 至 文件 结束 * / 
// 从 读 出 的 一 行内 容 , 调 用 函数 parse_shadowline() 解 析出 相应 的 用 户 信息 
if (parse_shadowline( shadow line, &userinfo)!= 0){ 
printf("Cannot parse the shadow line! \n"); 
continue; 
j 
/* 调用 弱 口 令 扫 描 函 数 dict_crack( ) 来 搜索 字典 中 是 否 有 词 条 可 以 加 密 出 相应 的 密 文 * / 
if(dict crack(dict fp,userinfo) == 1) // 破 解 成 功 ,设置 成 功 标志 
SUCCESS = 1; 
F 
if ( SUCCESS == 0) 
printf("Sorry, no password cracked, please try with anther dictionary! \n"); 


fclose(dict_fp); // 关 闭 字典 文件 
fclosel( shadow_ fp); // 关 闭 shadow 文件 
return 0; 


15.3 编译 .运行 与 测试 


对 上 述 的 源码 编译 后 ,就 能 得 到 可 执行 的 弱 口 令 扫描 工具 。 编 译 器 版 本 为 gcc2.6 以 上 
版 本 ,编译 时 在 shell 终端 输入 如 下 命令 : 

gcc -lcrypt -o crack crack.c 

crack. ec 为 弱 口 令 扫 描 程 序 的 源 文件 名 ,crack 为 指定 的 原型 工具 可 执行 文件 名 。 由 于 
扫描 工具 调用 了 crypt 库 函 数 ,因此 编译 选项 -lcrypt 不 能 省 略 , 以 指明 gcc 生成 的 目标 文件 
链接 crypt 库 。 

在 编译 好 弱 口 令 扫 描 工具 后 ,就 可 以 进行 弱 口 令 扫 描 的 尝试 ,具体 步骤 如 下 : 

(1) 创建 一 个 测试 用 户 ,并 设置 简单 口令 。 如 执行 : 

adduser testuser 

passwd testuser 

以 英语 单词 hero 作为 该 用 户 的 口令 ,设置 该 口令 ,在 /etc/shadow 文件 中 会 发 现 一 
该 帐户 的 口令 信息 ,如 : 


testuser: $1$ MhgRTOx7 $ G2WKT5fk4hnftT38o801x. :14760:0:99999:7::: 


(2) 构造 一 个 扫描 字典 ,假定 该 字典 文件 名 为 dictionary. txt, 该 字典 中 包含 常用 的 英 
语 单 词 。 
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(3) 执行 弱 口令 扫描 测试 ,在 shell 终端 下 执行 命令 : 
crack shadow dictionary.txt 


在 终端 上 就 会 看 到 扫描 成 功 的 信息 “The passwd for user testuser is hero”。 
图 15-2 给 出 一 个 具体 的 测试 过 程 和 结果 。 


文件 所 编辑 侍 ) 查看 人 终端 各 标签 @) 帮助 H) 

[ root61IDServer new-zdgj]= adduser testuser 
[root@lDServer new-zdgj]# passwd testuser 

Changing password for user testuser. 

New UNIX password: 

BAD PASSWORD: it is too short 

Retype new UNIX password: 

passwd; sll authentication tokens updated successfully. 
[rooteIDServer new-zdgj]# cp /etc/shadow ./ 


[root@lDServer new-zdgj]# ./crack shadow dictionary.txt 
The passwd for user testuser is hero 
[rooteIDServer new-zdej]= 


图 15-2 弱 口 令 扫描 过 程 及 结果 


15.4 扩展 开发 实践 


本 章 实现 了 一 个 弱 口 令 扫描 工具 的 原型 ,能够 对 一 些 简单 的 Linux 用 户口 令 进行 扫描 。 
下 面 给 出 在 本 原型 工具 基础 上 的 扩展 开发 实践 。 


15.4.1 弱 口 令 扫描 的 功能 增强 扩展 


若 用 户口 令 不 是 有 规律 的 词 条 ,而 是 一 些 词 条 的 变种 ,本 章 所 实现 的 弱 口 令 扫 描 工具 就 
不 能 扫描 成 功 。 常 见 的 词 条 变种 方式 包括 : 

。 两 个 词 条 连接 在 一 起 作为 用 户口 令 ,常见 的 是 一 个 单词 重复 两 次 作为 用 户口 令 , 如 

prettypretty。 

。 单词 中 的 某 个 字母 大 写 后 作为 用 户口 令 ,通常 是 首 字母 大 写 , 如 Pretty。 

。 单词 后 面 加 一 个 或 两 个 数字 字符 作为 用 户口 令 , 如 prettyll、prettyl2。 

针对 常见 的 词 条 变换 方式 ,有 兴趣 或 者 有 需要 的 读者 可 在 本 原型 工具 基础 上 自行 扩展 ， 
以 成 功 检测 出 经 过 词 条 变换 的 弱 口 令 。 


15.4.2 针对 Windows 系统 的 弱 口 令 扫描 实现 


本 章 实 现 的 弱 口 令 扫 描 工具 只 能 对 Linux 的 口令 系统 进行 扫描 ,由 于 加 密 方式 的 区 别 ， 
该 弱 口令 扫描 工具 无 法 实现 对 Windows 口令 系统 的 弱 口令 扫描 。Windows NT 及 
Windows 2000 中 对 用 户 帐 户 的 安全 管理 使 用 了 安全 帐号 管理 器 (Security Account 
Manager,SAM) 的 机 制 ，sam 文件 是 Windows NT 或 Windows 2000 系统 中 的 用 户 帐 户 数 
据 库 ,所 有 Windows NT 或 Windows 2000 中 的 用 户 帐号 及 口令 等 相关 信息 都 会 保存 在 这 
个 文件 中 ,实现 Windows 系统 的 弱 口 令 扫 描 主 要 涉及 对 该 文件 的 解析 和 访问 。 
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15.5 本 章 小 结 


本 章 在 6. 5 节 弱 口令 扫描 原理 介绍 的 基础 之 上 ,实现 了 一 个 原型 化 的 弱 口 令 扫描 工具 ， 
该 工具 能 够 对 简单 的 Linux 用 户口 令 进行 扫描 。 从 实际 的 扫描 测试 中 可 以 得 知 ,如 果 用 户 
用 一 个 规律 单词 作为 口令 ,在 数 分 钟 甚至 数秒 钟 内 就 能 够 扫描 成 功 , 获 得 用 户 设置 的 口令 。 
通过 该 开发 实践 可 以 看 出 设置 弱 口 令 对 系统 安全 的 现实 威胁 ,需要 从 思想 上 提高 自己 的 口 
令 安 全 意识 。 

本 原型 扫描 工具 没有 考虑 对 规律 词 条 的 组 合 和 变换 的 扫描 ,如 果 以 一 个 组 合 词 或 者 一 
个 单词 的 变换 形式 作为 口令 ,就 不 能 成 功 扫描 出 该 用 户口 令 。 针 对 常见 的 词 条 变换 方式 ,可 
以 在 该 原型 工具 的 基础 上 进行 扩展 开发 实践 ,以 支持 对 词 条 变换 口令 的 弱 口 令 扫描 。 


习 题 


1. Linux 操作 系统 中 用 户 的 帐号 ,口令 信息 通常 保存 在 哪些 文件 中 ? 
2. 在 Linux 下 的 C 语 言 程 序 设计 中 ,可 以 采用 何 种 方式 实现 基于 MD5 的 信息 加 密 


3. 简要 说 明 salt 值 在 口令 加 密 过 程 中 的 作用 。 

4. 结合 原型 工具 的 实现 ,说 明 弱 口令 扫描 的 大 致 过 程 。 

5. 收集 并 列举 出 3 种 以 上 用 作 口 令 设置 的 词 条 变换 方式 ,使 得 所 设置 的 口令 既 容易 记 
忆 又 难以 扫描 成 功 。 


第 16 音 ” 基 于 特征 串 匹 配 的 攻击 
检测 系统 原型 实现 


本 童 主要 曾 述 如 何 实 现 基 于 特征 串 匹配 的 攻击 检测 原型 系统 。 下 面 首先 介绍 该 原型 系 
统 的 总 体 设 计 , 然 后 介绍 该 原型 系统 的 源 代码 实现 过 程 ,最 后 介绍 该 原型 系统 的 测试 过 程 ， 
以 及 在 此 原型 系统 的 基础 上 能 够 进行 的 扩展 开发 实践 。 


16.1 原型 系统 的 总 体 设计 


基于 特征 串 匹 配 的 攻击 检测 系统 主要 通过 查找 网 络 数据 报 文中 是 否 包含 预知 的 攻击 特 
征 串 来 判断 是 否 存 在 相应 类 型 的 网 络 攻 击 。 要 实现 该 类 的 攻击 检测 系统 需要 重点 解决 三 个 
关键 问题 : 收集 和 定义 攻击 特征 串 ,获取 网 络 数据 包 , 高 效 的 字符 串 匹配 算法 。 收 集 和 定义 
攻击 特征 串 一 般 由 网 络 安全 专家 或 工程 技术 人 员 和 手工 完成 ,本 章 的 开发 实践 不 对 攻击 特征 
库 的 构造 进行 深入 的 探讨 。 本 节 介 绍 原型 系统 的 检测 功能 和 实现 原理 、 原 型 系统 实现 的 两 
个 关键 技术 ( 即 网 络 数据 包 的 获取 、 字 符 串 匹配 ) 以 及 原型 系统 的 执行 方式 。 


16.1.1 检测 功能 概述 


基于 特征 串 匹配 的 攻击 检测 是 目前 比较 流行 的 ` 常 用 的 攻击 检测 技术 ,不 少 产品 化 的 人 
侵 检测 系统 都 采用 这 种 检测 技术 实现 攻击 检测 。 实 际 的 基于 特征 串 匹配 的 攻击 检测 系统 在 
实现 时 需要 考虑 复杂 的 网 络 环境 、 各 种 网 络 协议 .良好 的 界面 以 及 检测 效率 等 多 个 方面 。 本 
章 的 目的 不 是 要 实现 一 个 完善 的 人 侵 检测 系统 ,而 是 借助 实例 化 的 原型 系统 展现 基于 特征 
串 匹 配 的 攻击 检测 原型 系统 的 实现 原理 和 过 程 。 因 此 ,本 章 原型 系统 的 功能 实现 进行 了 相 
应 的 简化 ,具体 包括 以 下 方面 : 

。 只 局 限于 检测 TCP 协议 的 报 文 。 多 数 网 络 应 用 都 是 基于 TCP 协议 的 ,实际 的 网 络 
攻击 大 部 分 是 针对 TCP 网 络 应 用 进行 的 ,如 各 种 CGI 攻击 等 ,因此 本 原型 系统 主要 
对 TCP 报 文 进行 基于 特征 串 匹 配 的 攻击 检测 。 

只 针对 单个 报 文 进行 检测 ,不 考虑 相 邻 报 文 的 合并 检测 。 有 经 验 的 攻击 者 可 能 通过 
精心 设计 ,将 攻击 特征 串 分 在 两 个 相 邻 的 报 文中 进行 传递 ,从 而 逃避 本 原型 系统 的 
检测 。 可 依据 16. 4 节 * 扩 展开 发 实践 ”增强 原型 系统 的 抗 逃 避 检 测 能 力 。 

采用 简单 的 攻击 判定 算法 ,只 要 发 现 TCP 包 的 数据 载荷 中 存在 攻击 特征 串 , 即 认为 
受到 了 攻击 。 不 可 否认 ,这 种 简单 的 判定 算法 可 能 会 导致 人 侵 误 报 ,16.4. 3 节 对 一 
些 误 报 场景 进行 了 说 明 ,可 以 据 此 进行 相应 的 扩展 开发 实践 。 

原型 系统 的 运行 需要 指定 保存 攻击 特征 串 的 文件 。 原 型 系统 从 指定 文件 中 读 取 相 
应 的 攻击 特征 串 ,并 依据 这 些 特 征 串 实 施 攻击 检测 。 本 开发 实践 由 编者 直接 通过 网 
络 查阅 已 知 的 攻击 特征 串 ,保存 在 特征 串 文 件 中 ,并 依 此 对 原型 系统 进行 测试 。 
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”攻击 响应 方式 只 限于 简单 的 告警 。 如 果 发 现 网 络 中 存在 攻击 行为 , 仅 在 控制 台 上 和 输 
出 攻击 的 类 型 、 攻 击 的 发 起 主机 和 攻击 目标 主机 ( 即 含 攻击 特征 串 的 网 络 数据 包 的 
源 IP 地 址 和 目标 IP 地 址 ) 。 产 品 化 的 入 侵 检测 系统 其 攻击 响应 方式 可 能 包括 邮件 
告警 .手机 短信 告警 ,协同 防火 墙 阻 断 相应 的 网 络 连接 等 。 


16.1.2 TCP 数据 包 的 获取 方案 


抓 取 网 络 中 的 TCP 数据 包 是 原型 系统 实现 特征 串 匹 配 及 攻击 检测 的 前 提 和 基础 ,回顾 
7.4.6 节 中 的 内 容 , 获 得 网 络 中 的 TCP 数据 包 有 三 种 常见 的 方法 : 在 网 络 中 间 结 点 获取 , 通 
过 嗅 探 方式 获取 ,以 及 通过 交换 机 (或 路 由 器 ) 的 镜像 端口 获取 。 考 虑 到 以 太 网 是 最 常见 到 
的 网 络 环境 ,组 建 这 样 的 网 络 实验 环境 无 需 高 档 的 交换 机 和 路 由 器 支持 。 因 此 本 原型 系统 
采用 网 络 嗅 探 的 方式 获得 网 络 数据 包 , 即 让 网 卡 工作 在 混杂 模式 下 ,用 于 接收 所 有 的 网 络 数 
据 包 。 另 外 ,为 降低 开发 的 难度 及 突出 攻击 检测 的 实现 原理 ,本 开发 实践 借助 于 第 三 方 的 
Libpcap 函数 库 来 完成 TCP 数据 包 的 抓 取 ,Libpcap 的 使 用 方法 和 主要 函数 在 6. 4. 2 节 中 
已 经 说 明 ,这 里 不 再 袭 述 。 


16.1.3 特征 串 匹 配 算法 


在 基于 特征 串 匹配 的 攻击 检测 过 程 中 ,大 量 的 、 需 要 反复 执行 的 操作 是 字符 串 匹配 , 即 
在 网 络 数据 包 中 查找 特征 串 ,特征 串 匹 配 过 程 对 应 非常 大 的 运算 量 。 在 实际 的 入 侵 检 测 系 
统 中 ,如 何 实现 和 改进 字符 串 匹 配 算法 对 于 提高 攻击 检测 的 效率 非常 重要 。 

最 简单 .也 是 最 常 想到 的 特征 串 匹配 算法 是 逐个 特征 串 、 逐 个 字符 进行 比较 , 即 从 网 络 
上 读 取 一 个 数据 包 后 ,按照 下 面 方式 进行 特征 串 匹 配 : 

(1) 读 取 一 个 特征 串 , 从 数据 包 的 第 一 个 字 节 开始 提取 与 该 特征 串 等 长 的 一 组 字 节 ,并 
与 该 特征 串 比 对 ,如 果 两 组 字 节 匹配 , 则 视 为 检测 到 一 次 攻击 ,如果 两 组 字 节 不 匹配 , 则 从 数 
据 包 的 下 一 个 字 节 开始 提取 与 特征 串 等 长 的 一 组 字 节 与 特征 串 比 对 。 每 次 后 移 一 个 字 节 重 
复 对 比 过 程 ,直到 数据 包 的 每 个 字 节 都 比 对 完毕 。 

(2) 读 取 攻击 特征 库 中 的 下 一 个 特征 串 ,进行 与 (1) 同 样 的 比 对 操作 。 重 复 进行 直到 特 
征 库 中 的 最 后 特征 串 ,然后 从 网 络 中 读 取 下 一 个 数据 包 进 行 检测 。 

不 难看 出 这 种 特征 串 匹配 算法 效率 低下 , 若 特征 串 平 均 长 度 记 为 工 , 共 N 个 特征 串 , 要 
在 长 度 为 P 的 网 络 报 文中 搜索 是 否 存在 特征 串 , 需 要 进行 (P 一 L) * N 次 的 字符 串 比 对 操 
作 , 对 应 的 字符 比较 次 数 最 大 可 达 L* (P 一 L) * N 次 ,一 般 情 况 下 特征 串 长 度 L 会 远 小 于 
数据 报 文 的 长 度 , 因 此 针对 每 个 报 文 所 需 的 字符 比较 次 数 最 大 接近 于 L*PxN 次 。 

一 个 攻击 检测 系统 如 果 包 含 100 个 平均 长 度 为 20 的 特征 串 ,在 百 兆 网 络 环境 极端 情况 
下 每 秒 要 对 总 长 为 100 兆 的 数据 搜索 特征 串 ,需要 进行 字符 对 比 操作 次 数 最 多 可 达 2 * 102 
次 ,显然 这 样 的 计算 复杂 度 对 很 多 计算 机 系统 都 是 难以 承受 的 。 因 此 产品 化 的 入 侵 检测 系 
统 很 少 采用 这 种 特征 串 匹 配 算法 ,这 些 检 测 系统 通常 采用 BM 算法 或 AC 算法 等 高 效 的 字 
符 串 匹 配 算法 ,这 些 算法 能 够 大 大 加 快 特征 串 匹 配 速度 。 

为 了 突出 攻击 检测 系统 的 实现 原理 ,本 章 仍 采用 最 基本 的 特征 串 匹 配 算 法 来 完成 攻击 
检测 。16. 4 节 “ 扩 展开 发 实践 ”对 BM 算法 和 AC 算法 进行 了 介绍 ,可 以 在 原型 系统 的 基础 
上 进行 相应 的 扩展 开发 实践 。 
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16.1.4 程序 运行 方式 


本 开发 实践 完成 的 基于 特征 串 匹 配 的 攻击 检测 系统 ,其 可 执行 程序 包含 1 个 参数 ,具体 
执行 格式 为 : 
./patterndetect patternfile 


patterndetect 为 保存 在 当前 目录 下 的 攻击 检测 原型 系统 的 可 执行 文件 名 ,其 后 的 参数 
patternfile 表示 保存 攻击 特征 串 的 库 文件 (下 文 简称 攻击 特征 文件 )。 在 特征 串 攻击 实施 过 
程 中 ,特征 串 与 相应 的 攻击 类 型 间 存 在 明确 的 对 应 关系 ,攻击 特征 文件 在 指明 每 个 特征 串 的 
同时 也 指明 该 攻击 特征 串 对 应 的 攻击 类 型 ,因而 本 章 开 发 的 原型 系统 在 攻击 检测 过 程 中 能 
够 给 出 所 检测 到 的 攻击 类 型 。 

攻击 特征 文件 为 包含 一 行 (或 多 行 ) 内 容 的 文本 文件 ,每 行 表示 一 个 攻击 特征 串 及 所 对 
应 的 攻击 类 型 ,具体 格式 为 : 


attacktype# attackpattern 


attacktype 表示 攻击 类 型 ,attackpattern 表示 攻击 特征 串 , 二 者 以 *# ”符号 分 隔 。 
16.2 原型 系统 的 实现 


16.2.1 主要 头 文件 


本 原型 系统 的 源 代 码 实 现 中 ,需要 用 到 文件 操作 、 网 络 功能 以 及 Libpcap 函数 库 , 因 此 
需要 包含 相关 的 头 文件 ,具体 为 : 


# include < sys/types.h> 

# include < sys/stat.h> 

# include < fcnt1.h> 

#include < stdio.h> 

# include < pcap.h> //Libpcap 函数 库 的 头 文件 
# include < arpa/inet.h> 

#include < string.h> 

#include < stdlib.h> 


16.2.2 主要 数据 结构 

本 原型 系统 主要 包括 三 个 数据 结构 : 报 文 信息 结构 PACKETINFO, 特 征 串 信息 结构 
ATTACKPATTERN,IP 头 结构 IPHEADER 。 

1. 报 文 信息 结构 

每 抓 取 一 个 报 文 , 将 相应 的 信息 提取 存放 在 此 结构 体 变量 中 ,用 于 特征 串 匹 配 。 


typedef struct Packetinfo{ 
u char src ip[4]; // 报 文 的 源 IP 地 址 
u_char dest_ip[4]; // 报 文 的 目标 IP 地 址 
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char * packetcontent; // 报 文 的 应 用 层 数 据 内 容 
int contentlen; // 报 文 的 应 用 层 数据 内 容 的 长 度 
}PACKETINEFO; 


2. 特征 串 信 息 结构 


每 个 结构 体 用 于 保存 一 个 攻击 特征 模式 (包括 攻击 特征 串 和 对 应 的 攻击 类 型 ), 从 攻击 
特征 文件 中 读 出 的 攻击 特征 模式 以 该 结构 体 链表 的 形式 ( 称 为 攻击 特征 模式 链 ) 保 存在 内 
存 中 。 


typedef struct AttackPattern{ 


char attackdes[256]; // 特 征 串 描述 , 即 所 对 应 的 攻击 类 型 
char patterncontent[256]; // 攻 击 特征 串 
int patternlen; // 攻 击 特 征 串 的 长 度 
struct AttackPattern x next;  // 后 继 指 针 ,用 于 将 所 有 的 攻击 特征 模式 组 织 成 链表 
}ATTACKPATTERN; 
3. IP 头 结构 
typedef struct { //IP 头 格式 
u_char version:4; // 版 本 号 
u_char header len:4; //IP 头 部 长 度 
u_char tos:8; // 服 务 类 型 
u_int16_t total_len:16; // 报 文 总 长 度 
u_int16_t ident:16; // 数 据 包 标识 符 , 即 数据 包 的 序号 
u_char flags:3; // 片 类 型 标志 (不 分 片 , 尾 片 等 ) 
u_int16_t fragment:13; // 该 片 的 偏 移 量 
u_char ttl:8; // 报 文生 存 周期 
u_char proto:8; // 上 层 协 议 
u_int16_t checksum; //IP 校 验 和 
u_char sourceIP[4]; // 源 IP 地址 
u_char destIP[4]; // 目 标 IP 地 址 
}IPHEADER; 


16.2.3 使 用 的 全 局 变量 


ATTACKPATTERN * PPatternHeader; // 全 局 变量 ,保存 攻击 特征 模式 链表 头 
int minpattern_len; // 最 短 特 征 串 的 长 度 ,在 读 取 攻 击 特征 文件 时 对 该 变量 赋值 


16.2.4 函数 组 成 和 调用 关系 


按照 所 实现 的 具体 功能 ,本 开发 实践 中 的 源 代 码 主要 包括 如 下 的 六 个 函数 。 
。 主 函数 。 函 数 原型 为 : 


int main( int argc, char * argv[]); 


该 函数 作为 主 函数 ,主要 完成 三 个 功能 : 调用 函数 parse_para() 进 行 命令 行 参数 
解析 , 即 分 析出 用 户 指定 的 攻击 特征 文件 名 ; 回调 用 函数 readpattern() 将 攻击 特征 
文件 中 的 特征 串 及 对 应 的 攻击 类 型 读 到 内 存 中 以 链表 形式 保存 ; @ 初 始 化 Libpcap 
函数 库 ,然后 将 函数 pcap_callback() 设 置 成 Libpcap 函数 库 的 回调 函数 。 之 后 ,每 
当 Libpcap 库 抓 到 一 个 IP 报 文 ,都 会 调用 所 设置 的 回调 函数 。 
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命令 行 参数 解析 函数 。 函 数 原型 为 : 
int parse paral( int argc, char * argv[ ], char * filename); 


该 函数 被 主 函 数 调 用 , 主 函数 将 命令 行 输入 以 函数 参数 形式 传递 给 该 函数 ,该 函数 
解析 命令 行 输入 ,将 解析 结果 保存 在 参数 filename 指向 的 缓冲 区 中 。 
特征 串 读 取 函数 。 函 数 原型 为 : 


int readpattern(char * patternfile); 


该 函数 被 主 函数 调用 ,从 参数 patternfile 表示 的 攻击 特征 文件 中 逐个 读 取 攻击 特征 
模式 ,并 将 这 些 攻 击 特征 模式 以 链表 的 形式 保存 在 内 存 中 , 即 生成 攻击 特征 模式 链 。 
Libpcap 库 的 回调 函数 。 函 数 原型 为 : 


void pcap_callback(u char * user,const struct pcap pkthdr * header,const u char * pkt_ data); 


该 函数 为 所 设置 的 回调 函数 ,负责 对 抓 到 的 数据 包 进 行 分 析 , 具 体 完成 的 工作 包括 : 
提取 报 文 的 信息 保存 到 一 个 PACKETINFO 结构 变量 中 ,然后 调用 函数 
matchpattern() 逐 个 匹配 特征 串 ,如 果 发 现 某 个 特征 串 在 该 报 文 的 数据 内 容 中 ,调用 
报警 函数 output_alert() 报 警 。 
特征 串 匹 配 函 数 。 函 数 原型 为 : 


int matchpattern(ATTACKPATTERN * pOnepattern, PACKETINFO * pOnepacket); 


该 函数 被 函数 pcap_callback() 调 用 ,以 查找 指针 pOnepacket 指向 的 数据 包 中 是 否 
存在 指针 pOnepattern 指向 的 特征 串 。 
报警 输出 函数 。 函 数 原型 为 : 


void output_alert(ATTACKPATTERN * pOnepattern, PACKETINFO * pOnepacket); 


该 函数 用 于 输出 报警 信息 , 即 攻击 类 型 \ 受 攻击 的 主机 IP 地 址 ,以 及 发 起 攻击 的 主 
机 IP 地 址 。 
上 述 函 数 及 外 部 函数 pcap_loop() (Libpcap 库 中 用 于 设置 抓 包 处 理 的 函数 ) 的 调用 和 
依赖 关系 如 图 16-1 所 示 。 


回调 没 必 函数 
peap loop 


特征 申 该 取 国 数 


readpattern 


Libpcap 加 调 孜 数 
pcap_callback 


特征 中 匹配 国 数 告警 输出 铺 数 
matchpattern output_alert 


16-1 攻击 检测 原型 系统 的 函数 调用 关系 
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16.2.5 函数 源 代 码 与 注释 


1. 主 函 数 
int main(int argc, char * argv[]){ 

char patternfile[256]; // 保 存 攻击 特征 文件 名 

Char * device; // 网 络 接口 设备 指针 

char errbuf[PCAP ERRBUF SIZE]; // 错 误 信 息 缓冲 区 

pcap 七 * phandle; //Libpcap 句柄 

bpf_u int32 ipaddress, ipmask; // 保 存 IP 地 址 和 掩 码 

struct bpf_program fcode; // 过 滤 串 缓冲 区 

if(parse_para(argc,argv, patternfile)) // 解 析 参 数 
exit(0); 

if (readpattern(patternfile)) // 从 攻击 特征 文件 中 读 取 攻 击 特征 模式 
exit(0) 

if((device = pcap_lookupdev(errbuf)) == NULL) // 获 得 可 用 的 网 络 设备 名 
exit(0); 

if(pcap_lookupnet (device, &ipaddress, &ipmask, errbuf ) == - 1) // 获 得 IP 地 址 和 子 网 掩 码 
exit(0); 

phandle = pcap_open live(device,200,1,500,errbuf); // 打 开设 备 

if(phandle == NULL) 
exit(0); 

// 设 置 过 滤器 ,只 捕获 TCP 对 应 的 IP 报 文 

if(pcap_compile(phandle, &fcode, "ip and tcp", 0, ipmask) == -1) // 编 译 过 滤 串 
exit(0); 

if(pcap_setfilter(phandle, &fcode) == —1) // 设 置 过 滤器 
exit(0); 

printf(" 开 始 特征 串 攻 击 检 测 ...\n"); 

pcap_loop(phandle, -~ 1, pcap_callback, NULL); // 设 置 回调 函数 ,开始 数据 包 捕捉 


} 
2. 命令 行 参 数 解析 西数 
int parse_para( int argc, char * argv[ ], char * filename){ 
// 该 程序 只 接收 攻击 特征 文件 名 一 个 参数 , 外 加 程序 名 自身 ,因而 argc 应 等 于 2 
if(argc != 2) { // 参 数 的 数量 错误 
printf("Usage % s : patternfile \n",argv[0]); // 输 出 正确 的 命令 行 参数 格式 
return 1; 
}else{ 
bzero(filename, 256); 


strncpy(filename, argv[1], 255); // 复 制 攻击 特征 文件 名 


return 0; 


} 
3. 攻击 特征 模式 读 取 函 数 


int readpattern(char * patternfile){ 
FILE * file; // 文 件 结构 指针 
char linebuffer[256]; // 用 于 读 取 一 行内 容 (对 应 一 个 攻击 特征 模式 ) 的 缓冲 区 
file = fopen(patternfile, "r"); ， // 以 读 方式 打开 攻击 特征 文件 
if ( file == NOLL) { // 文 件 打 开 失 败 
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printf("Cann't open the pattern file! Please check it and try again! \n"); 
return 1; 
} 
bzero(linebuffer, 256); // 初 始 化 缓冲 区 
pPatternHeader = NULL; // 初 始 化 攻击 特征 模式 链表 的 头 指针 
minpattern_len = 1000; // 类 似 于 求 最 小 值 的 过 程 , 先 赋 大 值 (超过 所 有 特征 串 长 ) 
while(fgets(linebuffer,255,file)){  // 每 次 读 取 一 行 ,直至 结束 
ATTACKPATTERN x pOnepattern; // 攻 击 特征 模式 结构 指针 
int deslen; // 特 征 串 描述 ( 即 攻击 类 型 名 称 ) 长 度 
char * pchar; // 字 符 指 针 , 用 于 临时 指向 行 缓冲 区 中 的 位 置 
pchar = strchr(linebuffer，' 井 "); // 查 找 特征 串 描述 和 特征 串 间 的 分 割 符 '# 
证 (pchar == NULL) // 未 查 到 分 隔 符 ,表示 该 行 不 是 有 效 的 特征 串 
continue; 
pOnepattern = malloc(sizeof(ATTACKPATTERN) ) ;/ * 分 配 攻击 特征 模式 结构 的 缓冲 区 * / 
deslen = pchar — linebuffer; // 计 算 特 征 串 描述 的 长 度 , 即 分 隔 符 与 行 开头 的 距离 
pOnepattern ->patternlen = strlen (linebuffer) - deslen -1 -1;V/* 特 征 串 长 度 , 总 
的 行 长 度 减 去 描述 长 度 、 分 隔 符 、 换 行 符 * / 
pchar ++; // 跳 过 分 隔 符 ,指向 特征 串 开 始 位 置 
memcpy(pOnepattern -> attackdes，linebuffer，deslen); // 复 制 特征 串 描述 
// 复 制 特 征 串 
memcpy(pOnepattern — > patterncontent, pchar, pOnepattern— > patternlen); 
if (pOnepattern 一 > patternlen < minpattern_len) 
minpattern_len = pOnepattern 一 > patternlen;  // 更 新 特征 串 最 小 长 度 
pOnepattern 一 > next = NULL; // 初 始 化 后 继 指针 
// 将 新 的 攻击 特征 模式 插入 到 攻击 特征 模式 链表 中 
if (pPatternHeader == NULL) // 攻 击 特征 模式 链表 为 空 
pPatternHeader = pOnepattern; 
else{ 
// 插 入 到 链表 头 的 位 置 
pOnepattern—>next = pPatternHeader; 
pPatternHeader = pOnepattern; 
}l 
bzero( linebuffer, 256); // 清 空 行 缓冲 
} 
if (pPatternHeader == NULL) // 检 查 是 否 成 功 读 取 了 特征 串 
return 1; 
return 0; 
} 
4. 回调 函数 
void pcap_callback(u_char * user, const struct pcap_pkthdr * header,const u char * pkt_data){ 
IPHEADER * ip_header; //IP 头 指针 
PACKETINFO onepacket; // 报 文 信息 结构 
ATTACKPATTERN * pOnepattern; // 攻 击 特 征 模式 结构 指针 
bzero(&onepacket, sizeof(PRCKETINFO) ) ; // 初 始 化 报 文 信息 结构 缓冲 区 
if(header ->len >= 14) 
ip_header = (IPHEADER* ) (pkt_data + 14); // 跳 过 帧 头 长 度 14 
else 
return; // 该 帧 长 度 小 于 帧 头 ,为 无 效 的 数据 


if(ip_header -> proto == 6){ // 为 TCP 协议 的 协议 标识 号 
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onepacket. contentlen = ip_header ->total_ len - 20 - 20;// 减 去 IP 和 TCP 头 长 
if (onepacket. contentlen < minpattern len) 

return; // 小 于 最 短 的 特征 串 长 度 ,不 可 能 成 功 匹 配 任何 特征 串 
// 跳 过 帧 头 .IP 头 和 TCP 头 
onepacket. packetcontent = (char * )(pkt data + 14 + 20 + 20); 
strncpy(onepacket. src_ip, ip_header -> sourceIP,4); ”// 复 制 源 IP 地 址 
strncpy(onepacket. dest_ip, ip_header -> destIP,4);  // 复 制 目标 IP 地 址 
ATTACKPATTERN * pOnepattern = pPatternHeader; // 获 得 攻击 特征 模式 链 头 
while(pOnepattern != NULL){ // 每 次 循环 匹配 一 个 攻击 特征 模式 

if (matchpattern(pOnepattern, &onepacket)){ // 在 报 文 数据 中 匹配 特征 串 

output_alert(pOnepattern，&onepacket) // 匹 配 成 功 ,输出 告警 信息 
} 
pOnepattern = pOnepattern 一 > next; // 指 向 下 一 个 攻击 特征 模式 


} 
5. 特征 串 匹 配 函 数 


int matchpattern( ATTACKPATTERN * pOnepattern, PACKETINFO * pOnepacket){ 
int leftlen; // 表 示 数 据 包 中 还 未 比较 的 内 容 长 度 
char * leftcontent; // 指 向 数据 包 中 还 未 比较 内 容 的 开头 位 置 
leftlen = pOnepacket -> contentlen; // 获 取 数 据 包 内 容 的 长 度 
leftcontent = pOnepacket -> packetcontent;  // 获 得 数据 包 内 容 的 头 位置 
while(leftlen > = pOnepattern-> patternlen){ // 逐 个 位 置 进行 比较 
if (strncmp( leftcontent, pOnepattern— > patterncontent, pOnepattern 一 > patternlen) == 0) 


return 1; 
leftlen ——; // 未 比较 的 内 容 长 度 减 1 
leftcontent ++; // 在 数据 包 内 容 中 ,后 移 一 个 位 置 进行 下 次 匹配 
} 
return 0; 
} 
6. 告警 输出 函数 


void output_alert(ATTACKPATTERN * pOnepattern, PRCKETINFO x pOnepacket){ 
printf(" 发 现 特征 串 攻 击 :\n 攻击 类 型 % s"，pOnepattern -> attackdes); ”// 输 出 攻击 类 型 
printf ("%d.%d.%d.%d==>",pOnepacket -> src_ip[0], Onepacket ->src_ip[1]， 
pOnepacket -> src_ip[2],pOnepacket -> src_ip[3]);// 输 出 发 起 攻击 的 主机 IP 地 址 
printf ("%d.%d.%d.% d\n",pOnepacket -> dest_ ip[0], Onepacket ~- > dest_ip[1], 
pOnepacket - > dest_ip[2],pOnepacket -> dest_ip[3]);// 输 出 被 攻击 的 主机 IP 地 址 


16.3 ”编译 及 运行 测试 


在 16. 2 节 完 成 原型 系统 的 代码 编程 和 实现 后 ,就 可 以 对 该 原型 系统 进行 测试 ,在 运行 
测试 之 前 需要 将 源 代码 编译 成 可 执行 程序 。 
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16.3.1 编译 方式 


在 本 章 的 原型 系统 开发 中 ,利用 Libpcap 函数 库 中 的 函数 实现 IP 报 文 的 获取 。 因 此 该 
原型 系统 的 编译 需要 依赖 Libpcap 函数 库 。 若 系统 中 还 没有 安装 Libpcap 库 , 在 编译 该 系 
统 原 型 前 ,需要 从 网 上 下 载 该 函数 库 ,然后 进行 安装 。 在 安装 之 后 ,就 可 以 用 gcc 编译 器 对 
源 代码 进行 编译 ,具体 编译 命令 如 下 : 


gcc - o patterndetect PatternDetection.c -lpcap 


这 里 PatternDetection. c 是 包含 16. 2 节 中 实现 代码 的 源 程序 文件 ,patterndetect 是 所 
希望 编译 出 的 可 执行 文件 名 ,选项 -lpcap 告知 编译 器 链接 Libpcap 函数 库 。 编 译 成 功 后 ,在 
当前 目录 下 ,就 可 以 看 到 该 原型 系统 的 可 执行 文件 patterndetect。 


16.3.2 运行 与 测试 


在 编译 好 基于 特征 串 匹 配 的 攻击 检测 系统 可 执行 文件 后 ,就 可 以 进行 攻击 检测 功能 的 
测试 。 由 于 该 原型 系统 需要 依赖 攻击 特征 文件 ,因此 需要 预先 构造 好 攻击 特征 文件 。 编 者 
从 网 上 收集 了 两 个 CGI 漏洞 以 及 发 起 攻击 的 特征 串 。 

。 whois_raw. cgi 漏洞 与 攻击 。 由 于 whois_raw. cgi 作者 的 失误 ,该 CGI 可 能 导致 人 
侵 者 在 目标 系统 上 以 httpd 启动 用 户 的 权限 执行 系统 命令 。 该 CGI 漏洞 的 攻击 特 
征 串 为 whois_raw. cgi? fqdn 一 吧 0acat% 20/etc/passwd。 上 有 具体 攻 击 是 否 能 够 成 功 
取决 于 目标 系统 中 是 否 存在 这 种 漏洞 ,以 及 该 漏洞 是 否 经 过 修复 。 
faxsurvey 漏洞 与 攻击 。 在 一 些 Linux 操作 系统 的 发 行 版 上 ,其 cgi-bin 目录 下 的 
faxsurvey 程序 允许 人 侵 者 无 须 登 录 就 能 在 服务 器 上 执行 指令 。 该 漏洞 的 攻击 特征 
串 为 faxsurvey? /bin/cat%20/etc/passwd。 该 攻击 只 对 特定 的 Linux 版 本 有 效 ， 
且 在 未 经 漏洞 修复 时 才能 攻击 成 功 。 
测试 之 前 ,基于 这 两 个 CGI 漏洞 构造 了 攻击 特征 文件 ,文件 名 为 patterfile, 具 体内 容 为 ， 


whois_raw. cgi# whois_raw.cgi?fqdn = % 0acat % 20/etc/passwd 

faxsurvey # faxsurvey?/bin/cat % 20/etc/passwd 

为 了 简单 起 见 , 本 原型 系统 的 测试 并 没有 实际 构建 包含 这 两 个 漏洞 的 计算 机 系统 ,因此 
并 不 能 呈现 出 实际 攻击 成 功 的 效果 。 测 试 具体 方法 为 : 通过 向 浏览 器 的 地 址 栏 输入 包含 该 
攻击 串 的 URL, 然 后 通过 原型 系统 检测 网 络 数据 包 来 发 现 是 否 存在 特定 类 型 的 攻击 。 
测试 过 程 涉及 到 三 台 计 算 机 系统 ,一 台 用 于 运行 攻击 检测 原型 系统 ,一 台 用 于 发 起 CGI 
攻击 ,一 台 为 被 攻击 目标 主机 。 组 网 方式 为 基于 双 绞 线 的 广播 式 以 太 网 ,具体 网 络 结构 如 
图 16-2 所 示 。 


必 击 发 起 主机 被 必 击 主 相 攻击 检测 主机 
192.168.47.240 192.168.47.183 192.168.47.8 
图 16-2 基于 特征 串 匹配 的 攻击 检测 原型 系统 网 络 测试 环境 
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测试 过 程 大 致 如 下 。 
(1) 启动 检测 程序 ,在 攻击 检测 主机 的 命令 行 窗口 ,输入 并 执行 如 下 命令 : 


./patterdetect patternfile 
(2) 发 起 CGI 攻击 ,在 发 起 攻击 的 主机 上 启动 浏览 器 ,在 地 址 栏 输 入 如 下 URL: 
http://192.168.47.183/faxsurvey?/bin/cat % 20/etc/passwd 
再 在 地 址 栏 输 入 如 下 URL: 
http://192.168.47.183/whois_raw.cgi?fqdn = % 0acat % 20/etc/passwd 


(3) 查看 检测 效果 ,在 攻击 检测 系统 所 在 主机 上 可 看 到 相应 的 攻击 告警 信息 ,如 图 16-3 
所 示 。 
root@IiDServer:~/book experiments/patterndetection El- 让 


文件 但 ” 汕 锅 全” 直 看 久 阁 端 D 标签 @) 帮助 HH) 


[ rooteIDServer patterndetection]* gcc -o patterndetect PatternDetection.c -lpcap| 


[rooteIDServer patterndetection]# ./patterndetect patternfile 
开始 特征 串 攻 i a 
发 现 特征 

攻击 类 us 192.168.47.240 一 > 192.168.47.183 
发 现 特征 串 3 

攻击 类 型 faxsurvey 192.168. 192.168.47.240 
发 现 特征 由 

攻 址 Whois_raw,cgi 192.168.47.2. => 192.168.47.183 
发 现 特定 是 芝 让 ; 

攻击 类 型 whois_raw.cgi 192.168.47.183 一 > 192.168.47.240 


图 16-3 ”基于 特征 串 匹 配 的 攻击 检测 原型 系统 的 攻击 告警 输出 


从 图 16-3 中 可 看 到 ,对 每 次 攻击 行为 出 现 了 两 条 检测 记录 ,这 是 因为 服务 器 在 收 到 
URL 请 求 后 ,由 于 不 存在 这 样 的 URL, 于 是 给 客户 端 回复 了 该 URL 不 存在 的 消息 ,该 回复 
消息 也 被 原型 系统 检测 到 了 ,因此 产生 了 192. 168. 47. 183 一 二 192. 168. 47. 240 的 攻击 误 
告警 。 

这 里 需要 注意 的 是 ,在 进行 原型 系统 测试 时 ,需要 在 被 攻击 主机 上 启动 Web 服务 ,否则 
攻击 主机 和 被 攻击 主机 间 无 法 成 功 建立 TCP 连接 ,更 谈 不 上 攻击 主机 向 被 攻击 主机 发 送 包 
含 攻击 特征 串 的 数据 包 , 因 而 也 不 可 能 检测 出 特征 串 攻击 。 


16.4 扩展 开发 实践 


本 章 实 现 了 一 个 基于 特征 串 匹 配 的 攻击 检测 系统 原型 ,该 原型 系统 的 功能 比较 简单 ,只 
是 对 截获 到 的 TCP 报 文 内 容 进行 特征 串 的 简单 匹配 ,以 实现 攻击 检测 和 告警 。 实 际 上 要 实 
现 一 个 实用 的 攻击 检测 系统 ,还 需要 进行 多 方面 改进 ,有 兴趣 的 读者 可 以 基于 本 节 讨论 ,在 
本 章 原 型 系统 的 基础 上 进行 扩展 的 开发 实践 。 


16.4.1 原型 系统 的 抗 逃避 检测 扩展 
本 童 的 原型 系统 对 单个 IP 数据 包 独立 进行 攻击 特征 串 的 匹配 ,并 以 此 进行 攻击 检测 和 
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告警 ,因而 不 能 成 功 检测 出 一 些 跨 IP 数据 包 的 特征 串 。 例 如 攻击 者 在 发 送 含 “whois_raw. 
cgi? fqdn 一 %0acat%20/etc/passwd” 特 征 串 的 URL 请 求 对 目标 服务 器 发 起 攻击 时 ,可 采 
用 一 定 的 报 文 发 送 技巧 ,让 特征 串 “whois_raw. cgi? fqdn 一 %0acat%20/etc/passwd” 分 散 
在 两 个 相 邻 的 IP 数据 包 中 进行 传递 ,如 将 字符 串 “whois_raw. cgi? fq” 放 在 前 一 IP 数据 包 
的 结尾 部 分 ,将 字符 串 “dn 一 %0acat%20/etc/passwd” 放 在 后 一 IP 数据 包 的 开头 部 分 ,从 而 
逃避 攻击 检测 系统 的 检测 。 
要 实现 攻击 检测 系统 的 抗 逃 避 能 力 ,在 进行 攻击 特征 串 匹配 时 ,需要 对 多 个 IP 报 文 的 
应 用 层 数据 进行 重新 组 装 ,通过 对 重组 后 的 应 用 层 数据 进行 特征 串 匹 配 ,来 发 现 跨 IP 数据 
包 的 特征 串 及 可 能 存在 的 网 络 攻 击 。 通 常 报 文 数据 的 重组 涉及 到 两 个 协议 层次 : 
。 IP 协议 层 的 IP 分 片 重组 一 个 完整 的 IP 数据 包 在 传递 过 程 中 可 能 被 分 为 多 个 IP 
分 片 ,在 进行 攻击 特征 串 匹配 前 需要 将 IP 分 片 重组 成 完整 的 IP 数据 包 。 
。 TCP 协议 层 的 数据 重组 ” 即 分 析出 哪些 IP 数据 包 属 于 同一 TCP 连接 ,以 及 这 些 
IP 数据 包 的 先后 关系 ,并 提取 出 同一 TCP 连接 IP 数据 包 中 的 应 用 数据 , 按 正 确 顺 
序 拼装 在 一 起 后 进行 攻击 特征 串 的 匹配 。 
经 过 上 述 处 理 后 ,攻击 检测 系统 就 能 检测 出 跨 IP 数据 包 的 攻击 特征 串 及 可 能 形成 的 网 
络 攻击 。 


16.4.2 原型 系统 的 特征 串 匹 配 算法 改进 


本 原型 系统 采用 最 简单 的 特征 串 匹 配 算法 来 检测 数据 包 中 是 否 包 含 攻击 特征 串 , 从 
16.1. 3 节 可 知 ,该 特征 串 匹配 算法 具有 很 高 的 时 间 复 杂 度 ,即使 在 百 兆 的 局 域 网 环境 中 , 攻 
击 检测 系统 也 来 不 及 对 抓 取 的 所 有 网 络 数据 报 文 进行 特征 串 匹 配 ,这 也 是 产品 化 的 入 侵 检 
测 系统 不 采用 这 种 特征 串 匹 配 算法 的 原因 。 

字符 串 匹 配 是 信息 科学 中 比较 常用 的 技术 , 除 入 侵 检 测 外 ,文本 检索 内 容 过 滤 \ 文 献 分 
类 等 领域 都 会 涉及 到 字符 串 匹 配 。 因 而 科学 家 们 对 字符 串 匹 配 技术 进行 了 深入 的 研究 , 提 
出 多 种 高 效 的 字符 串 匹配 算法 ,其 中 比较 常见 ` 被 广泛 应 用 的 经 典 算法 是 KMP 算法 和 BM 
算法 ,以 及 用 于 多 字符 串 匹 配 的 AC 算法 。 

简单 字符 串 匹 配 算法 的 显著 缺点 在 于 匹配 过 程 中 的 回溯 ,提高 了 匹配 复杂 度 。 因 此 
D. E. Knuth,J. H. Morris 与 V. R. Pratt 提出 了 无 回溯 的 字符 串 匹 配 算法 , 即 KMP 算法 ,该 
算法 的 基本 思想 是 : 给 待 匹 配 的 字符 串 预 先 定义 一 个 next 函数 ,next 函数 包含 了 字符 串 本 
身 局 部 匹配 的 信息 ,利用 这 些 信息 可 实现 无 回溯 的 字符 串 匹 配 过 程 。BM 算法 是 Boyer- 
Moore 算法 的 简称 ,由 Boyer 和 Moore 提出 ,BM 算法 采用 从 右 向 左 比较 的 方法 ,同时 应 用 
到 了 两 种 启发 式 规则 ( 即 坏 字 符 规则 和 好 后 绥 规 则 ) 来 进行 跳跃 式 匹配 。 

AC 算法 全 称 为 Aho-Corasick 算法 ,是 在 KMP 算法 基础 上 发 展 起 来 的 一 种 多 字符 串 
匹配 算法 ,用 于 在 一 段 文本 中 查找 多 个 字符 串 。 该 算法 分 为 三 个 阶段 : 四 将 多 字符 串 以 树 
状 结构 组 织 , 即 字符 串 树 ; 回 基于 字符 串 树 构 建 失败 转移 指针 ,这些 失败 转移 指针 的 作用 类 
似 于 KMP 算法 的 next 函数 ; @@ 基 于 带 失 败 转移 指针 的 字符 串 树 实现 无 回溯 的 字符 串 匹 
配 过 程 。AC 算法 的 特点 在 于 通过 一 次 扫描 过 程 就 能 发 现 多 个 字符 串 。 近 年 来 ,有 学 者 
将 BM 算法 的 思想 同时 应 用 于 AC 算法 中 .提出 了 新 的 多 字符 串 匹 配 算法 ,这 就 是 
AC-BM 算法 。 
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以 上 的 算法 过 程 相对 复杂 ,具体 算法 细节 可 参考 数据 结构 教材 或 专门 的 文献 资料 ,这 里 
不 再 费 述 。 利 用 上 述 算法 来 搜索 数据 包 中 是 否 包 含 攻击 特征 串 , 可 以 大 幅度 提高 人 侵 检 测 
系统 的 运行 效率 。 


16.4.3 原型 系统 的 检测 准确 性 扩展 


上 面 的 原型 系统 实现 过 程 中 ,只 要 在 网 络 报 文 中 发 现 含 有 攻击 特征 串 就 被 认定 为 受到 
了 相应 类 型 的 网 络 攻击 ,这 种 简单 的 攻击 判定 方式 可 能 会 带 来 攻击 误 报 。 下 面 是 常见 的 几 
种 在 网 络 报 文 中 发 现 攻 击 特征 串 而 没有 发 生 网 络 攻击 的 情况 。 
。 内 网 用 户 检索 和 下 载 介 绍 特征 串 攻击 的 相关 知识 网 页 时 ,网 络 中 可 能 会 检测 到 包含 
攻击 特征 串 的 网 络 报 文 ,因为 这 些 网 页 制作 者 可 能 会 列举 一 些 实际 特征 串 的 例子 来 
说 明基 于 特征 串 攻 击 的 原理 和 概念 。 
。 内 网 用 户 通 过 FTP 的 方式 从 远程 服务 器 下 载 包含 攻击 特征 串 的 一 些 文件 ,如 介绍 
特征 串 攻击 原理 的 书籍 文件 .相关 的 软件 工具 等 。 
实际 上 ,可 以 通过 对 网 络 报 文 的 进一步 分 析 来 排除 这 些 攻击 误 报 ,其 基本 思想 是 : 预先 
分 析 每 个 攻击 特征 串 形成 攻击 时 的 网 络 场景 特点 ,如 对 应 的 网 络 协议 .特征 串 出 现 位 置 等 。 
在 检测 过 程 中 , 若 在 一 网 络 数据 包 中 发 现 某 攻击 特征 串 , 先 不 急于 攻击 告警 ,而 是 先 分 析 该 
网 络 报 文 属于 哪 种 网 络 应 用 以 及 特征 串 的 出 现 位 置 是 否 符合 该 攻击 特征 串 对 应 攻击 形成 时 
的 网 络 场景 特点 。 然 后 再 确定 网 络 攻击 发 生 的 可 能 性 ,以 及 是 否 需 要 攻击 告警 。 比 如 多 数 
CGI 攻击 发 生 时 ,其 攻击 特征 串通 常会 出 现在 客户 端 向 服务 器 发 起 Web 网 页 请 求 的 URL 
中 ,车 在 服务 器 响应 的 Web 网 页 中 或 非 Web 应 用 中 发 现 包 含 CGI 攻击 特征 串 ,就 不 能 认定 
遭 到 了 CGI 攻击 。 
另外 ,一 些 类 型 的 网 络 攻击 特征 串 存在 多 个 变种 ,如 果 在 攻击 检测 过 程 中 考虑 对 特征 串 
变种 的 匹配 ,也 能 提高 攻击 检测 系统 检测 攻击 的 能 力 。 有 兴趣 的 读者 可 在 原型 系统 的 基础 
上 尝试 进行 这 方面 的 扩展 开发 实践 。 


16.5 本 章 小 结 


本 章 详 细 阐述 了 一 个 基于 特征 串 匹 配 的 攻击 检测 原型 系统 的 开发 过 程 和 实现 源 代码 ， 
该 原型 系统 可 以 对 基于 特征 串 的 网 络 攻击 进行 简单 的 检测 。 该 原型 系统 以 实例 的 形式 展示 
入 侵 检测 系统 的 工作 原理 ,实现 方 法 和 开发 过 程 , 可 以 借助 该 开发 实践 来 加 深 对 入 侵 检测 原 
理 和 实现 技术 的 理解 。 

本 章 开发 的 原型 系统 在 功能 上 比较 简单 ,判定 攻击 的 依据 也 比较 简单 ,只 要 网 络 数据 包 
中 发 现 攻 击 特征 串 就 认定 为 发 现 了 网 络 攻击 ,另外 特征 串 匹 配 过 程 也 采用 最 原始 的 字符 串 
匹配 算法 。 本 章 最 后 详细 讨论 在 本 原型 系统 的 基础 上 所 能 进行 的 扩展 开发 实践 ,具体 包括 
抗 逃 避 检 测 扩展 ,特征 串 匹配 算法 改进 扩展 以 及 检测 准确 性 扩展 。 有 兴趣 的 读者 可 以 在 此 
原型 系统 基础 上 ,按照 16.4 节 中 的 内 容 进行 相应 的 扩展 开发 实践 。 
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习题 


1. 结合 原型 系统 的 实现 方式 ,说明 攻击 者 基于 特征 串 的 攻击 过 程 是 否 可 以 逃避 原型 系 
统 的 检测 , 若 能 逃避 ,阐述 其 基本 方法 。 
. 如何 改 进 原型 系统 ,才能 有 效 实现 对 所 有 基于 特征 串 攻 击 的 检测 ? 
. 举例 说 明 KMP 算法 的 算法 思想 和 基本 过 程 ,重点 说 明 next 函数 的 构建 和 使 用 。 
. 查找 资料 ,详细 说 明 BM 算法 的 基本 过 程 。 
. 举例 说 明 AC 算法 中 失败 转移 指针 的 作用 。 
.举例 说 明 该 原型 系统 在 哪些 情况 下 会 出 现 攻 击 误 报 , 以 及 消除 这 些 攻击 误 报 的 基本 


人 


思路 。 
7. 简 述 原型 系统 在 检测 准确 性 上 还 存在 哪些 需要 改进 的 地 方 ,以 及 采用 何 种 思路 实现 
相应 的 改进 。 
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本 章 主要 闸 述 如 何 实现 端口 扫描 检测 原型 系统 ,下 面 首先 介绍 该 原型 系统 的 总 体 设计 ， 
然后 介绍 该 原型 系统 的 源 代码 实现 ,最 后 介绍 该 原型 系统 的 测试 过 程 ,以 及 在 此 原型 系统 的 
基础 上 能 够 进行 的 扩展 开发 实践 。 


17.1 原型 系统 的 总 体 设 计 


本 节 介绍 原型 系统 的 功能 设计 与 实现 原理 、 原 型 系统 的 实现 结构 ,并 介绍 该 原型 系统 的 
运行 方式 。 


17.1.1 原型 系统 的 功能 及 实现 原理 


本 书 第 7 章 详细 讨论 了 用 于 脆弱 性 测试 的 端口 扫描 技术 ,包括 全 连接 扫描 、 半 连接 扫 
描 、FIN 扫描 ,UDP 扫描 。 这 些 端 口 扫描 技术 通过 发 送 相应 类 型 的 探测 性 报 文 ,然后 依据 被 
扫描 网 络 ( 或 主机 ) 的 响应 来 推定 端口 的 状态 (打开 或 关闭 )。 端 口 扫 描 技 术 除 用 于 系统 的 脆 
弱 性 测试 以 提高 系统 的 安全 性 外 ,还 经 常 被 外 界 攻 击 者 作为 人 侵 系统 的 前 期 准备 工作 。 因 
此 端口 扫描 检测 系统 能 提早 发 现 可 能 的 入 侵 行为 ,从 而 降低 入 侵 可 能 带 来 的 危害 。 本 章 中 
的 原型 系统 实现 主要 在 于 展现 端口 扫描 检测 系统 的 实现 原理 ,而 不 是 要 实现 一 个 完善 的 端 
口 扫 描 检测 系统 ,因此 本 章 的 原型 系统 主要 针对 全 连接 扫描 和 半 连 接 扫描 ( 即 SYN 扫描 》 
进行 检测 。 

全 连接 扫描 和 SYN 扫描 都 是 向 被 扫描 主机 发 送 连 接 请 求 ( 即 SYN 报 文 ) 来 实施 端口 
扫描 ,二 者 的 不 同 在 于 前 者 在 接收 到 被 扫描 主机 的 反馈 ( 即 带 SYN 和 ACK 标志 的 TCP 报 
文 ) 后 ,会 回复 一 个 带 ACK 标志 的 TCP 报 文 以 建立 相应 的 SOCKET 连接 ,而 后 者 不 会 回 
复 这 样 的 TCP 报 文 。 从 扫描 方式 和 效果 上 看 ,这 两 种 扫描 方式 并 没有 本 质 性 的 区 别 ,都 
是 向 被 扫描 主机 的 多 个 端口 发 送 SYN 报 文 ,然后 依据 是 否 收 到 相应 的 反馈 来 判断 端口 
是 否 打 开 。 因 此 可 以 通过 检查 网 络 中 的 SYN 报 文 来 检测 网 络 中 是 否 存在 全 连接 扫描 
或 半 连 接 扫描 , 即 检测 系统 将 SYN 报 文 视 为 判定 系统 中 是 否 存在 端口 扫描 的 网 络 特征 
属性 。 

正常 的 网 络 连 接 建立 过 程 也 会 发 送 SYN 报 文 ,因此 网 络 中 发 现 有 SYN 报 文 并 不 意味 
着 网 络 中 一 定 存 在 端口 扫描 。 通 过 对 扫描 攻击 目的 和 形成 过 程 分 析 不 难 发 现 , 端 口 扫描 中 
发 送 的 SYN 报 文 相 比 一 般 网络 应 用 中 的 SYN 报 文 存在 如 下 区 别 : 端口 扫描 中 ,在 一 个 较 
短 的 时 间 内 会 对 某 主机 的 多 个 或 一 大 批 端口 发 送 SYN 报 文 。 如 果 在 网 络 中 发 现 了 这 种 现 
象 , 即 短 时 间 内 观测 到 多 个 发 往 同 一 主机 不 同 端口 的 SYN 报 文 ,基本 可 以 认定 为 该 主机 受 
到 了 端口 扫描 攻击 ,发 送 这 些 SYN 报 文 的 主机 (由 报 文 的 源 IP 地 址 标识 ) 即 是 发 起 扫描 的 
攻击 源 。 这 里 要 强调 的 是 ,发 往 同 一 主机 多 个 端口 的 SYN 报 文才 能 作为 判定 端口 扫描 的 


司 
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依据 ,观测 到 发 往 同 一 主机 的 多 个 SYN 报 文 并 不 能 作为 判定 依据 。 如 果 网 络 中 存在 一 个 
公共 服务 器 ,该 服务 器 同时 为 多 个 用 户 提供 网 络 服务 是 很 正常 的 现象 ,很 可 能 在 短 时 间 内 观 
测 到 发 往 该 公共 服务 器 的 多 个 SYN 报 文 ,不 过 这 些 报 文 都 是 发 往 同 一 个 目标 端口 。 

下 面 开发 的 原型 系统 通过 统计 一 段 时 间 内 网 络 中 发 往 单个 主机 的 SYN 报 文 所 涉及 到 
的 目标 端口 数量 来 进行 扫描 攻击 检测 。 为 了 便于 理解 检测 规则 的 含义 ,本 原型 系统 中 所 统 
计 的 时 间 长 度 、 用 于 产生 报警 的 目标 端口 数量 都 由 用 户 输入 确定 ,运行 该 原型 系统 的 用 户 自 
己 来 指明 端口 扫描 的 判定 标准 。 

本 章 的 原型 系统 中 ,统计 网 络 中 发 往 单个 主机 的 SYN 报 文 所 涉及 的 目标 端口 数量 ,并 
进行 攻击 判断 是 该 原型 系统 要 完成 的 最 主要 功能 。 本 原型 系统 主要 针对 简单 以 太 网 环境 实 
施 攻 击 检测 ,因此 与 第 16 章 基 于 特征 串 匹 配 的 攻击 检测 系统 开发 采用 同样 的 报 文 获取 方 
式 , 即 借助 于 Libpcap 库 实现 SYN 报 文 的 获取 。 


17.1.2 程序 运行 方式 


本 开发 实践 完成 的 端口 扫描 检测 原型 系统 ,编译 完成 后 为 一 个 可 执行 程序 ,该 程序 一 共 
包含 两 个 参数 ,具体 执行 格式 为 : 


detect_portscan port_amount detect period 


detect_portscan 为 端口 扫描 检测 原型 系统 的 可 执行 文件 名 。 参 数 port_amount 指定 一 
个 检测 周期 内 连接 请 求 发 往 单个 主机 的 目标 端口 数量 ( 即 SYN 报 文 涉及 到 的 目标 端口 数 
量 ) 上 限 。 若 在 一 个 检测 周期 内 发 现 某 主机 有 超过 该 参数 指定 值 的 端口 数 连接 请 求 , 即 判定 
为 该 主机 受到 了 扫描 攻击 。 该 参数 的 最 大 值 为 10, 如 果 超 过 10 将 会 自动 设置 为 10。 参数 
detect_period 设 定 检测 周期 ,单位 为 秒 。 

若 执 行程 序 时 不 设 定 参 数 , 则 将 参数 port_amount 默认 为 5, 将 参数 detect_period 默认 
5 和 全 


17.2 原型 系统 的 实现 


17.2.1 主要 头 文件 及 宏 定 义 


由 于 端口 扫描 检测 程序 需要 调用 网 络 相关 的 库 函 数 和 结构 定义 ,因此 需要 包含 网 络 相 
关 的 头 文件 ,具体 为 ， 

# include < stdio.h> 

# include < pcap.h> // Libpcap 库 头 文件 

# include < arpa/inet.h> 


#include < string.h> 
# include < stdlib.h> 


本 开发 实践 涉及 到 的 安定 义 如 下 : 
# define MAXNUM SCANNEDPORT 10 // 同 一 主机 被 试图 连接 的 默认 端口 数 上 限 
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17.2.2 主要 数据 结构 


本 程序 主要 定义 了 4 种 数据 结构 : 保存 参数 信息 的 结构 detect_para, 保 存单 个 被 扫描 
主机 的 信息 结构 DetectedHost,IP 头 结构 IPHEADER,TCP 头 结构 TCPHEADER。 


1. 参数 信息 结构 


typedef struct detect para{ // 保 存 用 户 输入 参数 的 数据 结构 
int port_num; // 报 警 的 端口 数量 上 限 
int period; // 检 测 周期 


} detect para; 
2. 单个 被 扫描 主机 的 信息 结构 


typedef struct DetectedHost { 
uchar src_ip[4]; 


// 用 于 保存 单个 主机 被 扫描 到 的 端口 信息 
// 发 送 SYN 报 文 主机 的 王 地 址 


uchar dest_ip[4]; // 被 扫描 主机 的 IP 地 址 
u_short port_list[MAXNUM_SCANNEDPORT] ; //SYN 报 文 涉及 到 的 目标 端口 列表 
time_t time_list[MAXNUM_SCANNEDPORT]; // 收 到 SYN 报 文 的 时 间 列 表 


struct DetectedHost * next; 
}DetectedHost; 


3. IP 头 结构 


typedef struct { 


// 后 继 指针 ,用 于 指向 下 一 个 结构 体 


u_char version:4; // 版 本 号 
u_char header len:4; //IP 头 长 度 
u_char tos:8; // 服 务 类 型 
u_int16_t total_len:16; // 数 据 包 长 度 
u_int16_t ident:16; // 数 据 包 标识 符 
u_char flags:3; // 片 类 型 标志 (不 分 片 , 尾 片 等 ) 
u_int16_t fragment:13; // 该 片 的 偏 移 量 
u_char ttl:8; // 生 存 时 间 
u_char proto:8; // 上 层 协 议 标 识 号 
u_int16_t checksum; //IP 校 验 和 
u_char sourceIP[4]; // 源 IP 地 址 
u_char destIP[4]; // 目 标 IP 地 址 

}IPHEADER; 

4. TCP 头 结构 

typedef struct { 
u_int16 t source port; // 源 端口 
u_int16 _t dest_port; // 目 标 端口 
u_int32_t seq; // 序 列 号 
u_int32_t ack_seq; // 确 认 序 列 号 
u_int16 t resl:4; // 预 留 
u_int16_t doff:4; // 首 部 长 度 
uint16 t fin:1; // 结 束 连 接 标志 位 
u_int16_t syn:1; // 连 接 请 求 标志 位 


u int16 t rst:1; 
u int16 t psh:1; 


// 重 新 连接 标志 位 
// 要 求 接收 方 立即 交 到 上 层 处 理 的 标志 位 
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uint16 t ack:1; // 确 认 标 志 位 
u_int16_t urg:1; // 紧 急 数据 标志 位 
u_int16 t res2:2; // 预 留 
u_int16 t window; // 窗 口 ,告诉 接收 者 可 以 接收 的 大 小 
uint16 t check; // 校 验 和 
uint16 t urg prt; // 紧 急 指 针 
}TCPHEADER; 


17.2.3 使 用 的 全 局 变量 


DetectedHost * pHostlistHeader;/* 扫描 信息 链 的 表 头 指针 ,该 链表 的 每 个 结 点 对 应 一 个 目标 主机 * / 
detect para para; // 全 局 变量 para, 保存 了 命令 行 参数 的 值 


17.2.4 函数 组 成 和 功能 设计 


按照 所 实现 的 具体 功能 ,本 开发 实践 中 源 代码 主要 包括 如 下 七 个 函数 。 
。 主 函数 。 函 数 原型 为 : 


int main( int argc, char * argv[]); 


该 函数 作为 主 函数 ,主要 完成 两 个 功能 : 调用 函数 parse_detect_para() 进 行 命令 
行 参 数 解 析 ; @ 初 始 化 Libpcap 工具 库 , 然 后 调用 函数 pcap_loop() 将 函数 pcap_ 
callbackO) 设 置 成 Libpcap 库 的 回调 函数 ,并 且 开 始 端口 扫描 检测 。 之 后 ,每 当 
Libpcap 库 抓 到 一 个 IP 报 文 ,都 会 调用 所 设置 的 回调 函数 。 

命令 行 解析 函数 。 函 数 原型 为 : 


int parse_detect paral( int argc, char * argv[ ], detect para * result); 


该 函数 被 主 函 数 调 用 , 主 函 数 直接 将 命令 行 输入 以 函数 参数 形式 传递 给 该 函数 ,该 
函数 解析 命令 行 输入 ,并 将 解析 结果 保存 在 全 局 变量 para 中 。 

回调 函数 。 函 数 原型 为 : 

void pcap_callback (u_char * user,const struct pcap_pkthdr * header, const u_char * pkt_data); 


该 函数 为 所 设置 的 回调 函数 ,负责 对 抓 到 的 数据 包 进行 分 析 和 统计 ,具体 完成 的 工 
作 包 括 : 四 如 果 收 到 的 是 SYN 报 文 , 将 该 数据 包 的 相关 信息 更 新 到 扫描 信息 链表 ， 
包括 插入 和 删除 链表 等 ,这 些 工作 通过 调用 函数 updatehostinfo() 、 函 数 add_host() 
及 函数 delete_host(0) 来 完成 ; 四 对 链表 中 的 每 个 结 点 会 依据 用 户 设置 的 检测 参数 
判定 是 否 存在 扫描 攻击 , 若 存在 扫描 攻击 , 则 调用 函数 output_alert() 报 警 。 

主机 结 点 信息 更 新 函数 。 函 数 原型 为 : 


int updatehostinfo(DetectedHost * orignalhostinfo, DetectedHost * newhostinfo, int * foundflag); 


该 函数 被 函数 pcap_callback() 调 用 ,用 于 更 新 参数 orignalhostinfo 指向 的 在 扫描 信 
息 链 上 的 结 点 信息 ,参数 newhostinfo 为 新 抓 到 的 SYN 报 文 对 应 的 结 点 信息 。 该 
函数 首先 确定 这 两 个 结 点 是 否 对 应 同一 个 目标 主机 ,如 果 是 ,将 参数 newhostinfo 中 
的 目标 端口 信息 合并 到 参数 orignalhostinfo 指向 的 结 点 ,并 将 参数 foundflag 所 指 
向 的 值 设置 为 1。 
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。 结 点 添加 函数 。 函 数 原型 为 : 

void add_host(DetectedHost * phost); 

该 函数 负责 将 参数 phost 指向 的 主机 结 点 加 入 到 扫描 信息 链 中 。 
结 点 删除 函数 。 函 数 原型 为 : 

int delete host(DetectedHost * phost); 

该 函数 从 扫描 信息 链 中 删除 参数 phost 指向 的 主机 结 点 。 

报警 响应 函数 。 函 数 原型 为 : 

void output alert(DetectedHost * p); 


该 函数 用 于 输出 报警 信息 ,如 受到 扫描 攻击 的 主机 IP 地 址 等 。 
上 述 函 数 及 外 部 函数 pcap_loop() (Libpcap 库 中 用 于 设置 抓 包 处 理 的 函数 ) 的 调用 和 


依赖 关系 如 图 17-1 所 示 。 
mam 
命令 行 参数 解析 因数 We ss 加 调 设置 郴 数 


parse_detect_para pcap_loop 


Libpeap 回调 两 数 
pcap_callback 


主机 信息 更 新 函数 报 移 函 数 加 函数 结 点 央 除 函数 
updatehostinfo output_ alert host delete_host 
17-1 ”端口 扫描 检测 程序 的 函数 调用 关系 
17.2.5 函数 源 代码 与 注释 
1. 主 函 数 
int main(int argc, char * argv[]){ 
pHostlistHeader = NULL; // 初 始 化 链表 头 
char * device; // 网 络 接口 设备 指针 
char errbuf[PCAP_ERRBUF_SIZE]; // 错 误 信息 缓冲 区 
pcap_t * phandle; //Libpcap 句柄 
bpf_u_int32 ipaddress, ipmask; // 保 存 IP 地 址 和 掩 码 
struct bpf_program fcode; // 过 滤 串 缓冲 区 
if(parse_detect para(argc, argv,&para) ){ // 解 析 参 数 
printf("Usage %s : the amount of scanned ports，detect_period! \n",argv[0]); 
/* 输出 命令 行 参数 提示 * / 


exit(0); 
} 
if((device = pcap_ lookupdev(errbuf)) == NULL) // 获 得 可 用 的 网 络 设备 名 
exit(0); 
if(pcap_lookupnet (device, &ipaddress, &ipmask, errbuf) == -1) // 获 得 IP 地 址 和 子 网 掩 码 


272 


信息 安全 技术 解析 与 开发 实践 


b 


exit(0); 
phandle = pcap open live(device,200,1,500,errbuf); // 打 开设 备 
if(phandle == NULL) 
exit(0); 
// 编 译 过 滤 串 ,希望 只 捕获 TCP 对 应 的 IP 包 
if(pcap_compile(phandle, &fcode, "ip and tcp",0, ipmask) == 一 1) 
exit(0); 
if(pcap_setfilter(phandle, &fcode) == —1) // 设 置 过 滤器 
exit(0); 
printf(" 开 始 检测 端口 扫描 ....\n"); 
pcap_loop(phandle, - 1, pcap_callback, NULL); // 设 置 回调 函数 ,开始 端口 扫描 检测 


2. 命令 行 参数 解析 函数 


int parse_detect_para( int argc, char * argv[ ] ,detect_para * result) { 


if(argc == 1) { 

/* 不 指定 检测 参数 , 设置 为 默认 值 , 如 果 在 7 秒 内 观测 到 有 SYN 报 文 发 向 某 一 主机 的 5 个 (及 
以 上 ) 目标 端口 , 则 被 认定 为 该 主机 受到 端口 扫描 * / 
result 一 > port_num = 5; 
result 一 > period = 7; 


jelse 
if (argc == 3){ 
result 一 > port_num= atoi(argv[1]); // 获 得 报警 所 需 的 端口 数目 
if (result 一 > port_num > MRXNUM_SCRNNEDPORT) 
result 一 > port_num = MAXNUM SCANNEDPORT; /设置 为 默认 上 限 值 
result -> period = atoi(argv[2]); // 获 得 检测 周期 
} else 
return 1; // 参 数 格式 错误 ,无 法 解析 出 命令 行 参 数 
return 0; 
} 
3. 回调 函数 


void pcap_callback(u_char * user, const struct pcap pkthdr * header,const u char * pkt_data){ 


int existflag; // 标 志 变 量 , 表 示 新 SYN 报 文 对 应 的 主机 结 点 是 否 已 在 扫描 信息 链 中 
IPHEADER x ip_header; //IP 头 指针 
TCPHEADER x tcp_header; //TCP 头 指 针 


struct timeval current_tv/ // 当 前 时 间 的 结构 变量 

time 上 current time; // 当 前 时 间 , 以 秒表 示 
gettimeofday(&current_tv,NULL) ; // 获 得 当前 时 间 

current time = current tyv.tv_ sec; // 记 录 当 前 时 间 , 精确 到 秒 即 可 

if(header ->len >= 14) //MAC 头 长 度 为 14, 小 于 14 不 可 能 是 有 效 的 IP 包 


ip_header = (IPHEADER* ) (pkt_data+ 14); // 获 得 IP 头 指针 
else return; 


if(ip_header ->proto == 6){ // 只 处 理 TCP 包 ,6 为 TCP 协议 号 
if(header -> len >= 34) //MAC 头 和 IP 头 共 为 34 字 节 
tcp_header = (TCPHEADER x ) (pkt_data+ 34); /* 跳 过 MRC 头 和 开头 ,获得 TCP 头 */ 
else 
return; 


if ((tcp header -> syn == 0) || ((tcp header ->ack == 1))) 
return; // 只 关心 带 SYN 标志 且 不 带 ACK 标志 的 IP 数据 包 
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DetectedHost * phost = (DetectedHost * )malloc(sizeof(DetectedHost)); 
bzero(phost, sizeof (DetectedHost)); 
strncpy(phost —> src_ip, ip_header - > sourceIP,4) ; // 记 录 源 IP 地址 


strncpy(phost -> dest_ip, ip_header — > destIP, 4); // 记 录 目 标 IP 地 址 
phost -> port_list[0] = tcp_header -> dest_port; // 记 录 目 标 端口 
phost ->time_list[0] = current time; // 记 录 当 前 时 间 
existflag = 0; 

DetectedHost * p= pHostlistHeader; // 获 得 链表 头 


// 下 面 每 次 循环 对 链 上 的 一 个 结 点 进行 信息 更 新 和 攻击 判定 检查 

while(p != NULL){ 
int validnum scanedport = updatehostinfo(p,phost, &existflag); /* 更 新 结 点 的 
信息 ,函数 updatehostinfo( ) 的 返回 值 为 该 结 点 在 最 近 的 检测 周期 内 有 几 个 端口 被 
试图 连接 过 。existflag 标志 表示 新 结 点 和 和 链 上 某 结 点 是 否 对 应 同一 个 主机 ,在 
updatehostinfo 函数 内 , 当前 结 点 与 新 结 点 为 同一 主机 时 ,existflag 被 赋值 为 1 * / 
DetectedHost * tmphost = NULL; 


if(validnum scanedport == 0) // 检 测 周期 内 ,该 结 点 无 被 试图 连接 的 端口 


tmphost = p; // 记 录 该 结 点 ,便于 后 面 删除 
else 
if(validnum scanedport > = para.port_num){ // 达 到 了 告警 的 限度 
output_alert(p); // 输 出 告警 信息 
tmphost = p; // 为 防止 重复 告警 ,记录 该 结 点 以 在 后 面 删除 
} 
p= p->next; // 处 理 下 一 个 主机 结 点 
if (tmphost) 


delete_host(tmphost); // 删 除 当前 的 主机 结 点 
} 
// 循 环 结束 ,如 果 新 扫描 结 点 不 在 链 上 , 则 添加 到 链 上 , 否则 释放 存储 空间 
if (existflag == 0) 
add_host (phost); 
else 
free(phost); 


} 
4. 主机 结 点 信息 更 新 函数 


int updatehostinfo ( DetectedHost * orignalhostinfo, DetectedHost * newhostinfo, int * 
foundflag){ 
int index; // 索 引号 ,用 作 循 环 变量 
int found_index = —1; // 新 试图 连接 端口 在 端口 数组 的 位 置 索引 
int empty_index = —1; // 端 口 数组 中 的 一 个 空白 项 索引 
int valid num = 0; // 统 计 主 机 结 点 中 检测 周期 内 被 试图 连接 的 端口 数量 
证 (x (intx )(orignalhostinfo 一 >dest_ip) == x (int*x)(newhostinfo—-> dest ip)){ 
/* 两 个 结 点 的 主机 IP 地 址 相同 ,进行 信息 合并 * / 
/* 逐个 扫描 该 主机 结 点 中 保存 被 试图 连接 的 端口 。 若 该 端口 在 新 结 点 中 再 次 被 连接 , 记 
下 索引 号 ,便于 在 循环 后 更 新 试图 连接 时 间 。 若 该 端口 的 试图 连接 时 间 超 出 了 检测 周 
期 ,设置 为 无 效 。 扫 描 过 程 中 ,同时 找到 一 个 空白 项 以 用 于 记录 新 结 点 试图 连接 到 的 
端口 ,还 统计 检测 周期 内 被 试图 连接 的 端口 数量 x*/ 
for(index = 0; index < MAXNUM SCANNEDPORT; index ++){ 
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证 (newhostinfo 一 > dest_port == orignalhostinfo—>port list[index]){ 
// 目 标 端口 一 致 , 记 下 端口 的 索引 号 
found index = index; 
valid_num ++; // 记 录 检 测 周期 内 被 试图 连接 的 端口 数量 
continue; 
’ 
if (newhostinfo - > time_list[0] - orignalhostinfo - > time_list[ index]> para. 
period) /* 超出 检测 周期 的 被 连接 的 端口 */ 
orignalhostinfo- > port_list[index] = 0; // 设 置 该 端口 为 无 效 
if (orignalhostinfo 一 > port_list[ index] == 0) 
empty_index = index; // 找 到 一 个 空白 项 
else 


valid num ++; 


} 
if (found_index >= 0) // 更 新 试图 连接 的 时 间 
orignalhostinfo—>time list[found index] = newhostinfo—>time list[0]; 
elsef // 将 新 连接 的 端口 记录 到 数组 中 
if (empty_index >= 0){ 
// 记 录 时 间 
orignalhostinfo 一 > time list[empty_ index] = newhostinfo—> time list[0]; 
// 记 录 端 口 
orignalhostinfo 一 > port list[empty index] = newhostinfo 一 > port list[0]; 
} 
* foundflag = 1; // 表 示 新 结 点 
} else{ 


for(index = 0; index < MAXNUM SCANNEDPORT; index ++){ 
if(newhostinfo - > time_list[0] - orignalhostinfo - > time_list[ index]> para. 
period) /* 若 对 该 端口 的 试图 连接 发 生 在 检测 周期 外 * / 
orignalhostinfo 一 > port_list[index] = 0; 
if (orignalhostinfo 一 > port_list[index] > 0) 


valid num ++; // 有 效 端口 数量 加 1 
} 
} 
return valid num; // 返 回 有 效 的 端口 数量 
} 
5. 告警 函数 


void output_alert(DetectedHost * p){ 
printf(" 发 现 扫描 攻击 :"); 
// 输 出 发 送 SYN 报 文 的 源 IP 地 址 ,可 能 是 发 起 扫描 攻击 的 主机 IP 地 址 
printf(" %d. %d. %d. %d==>",p—> src_ip[0], p—> src_ip[1], p-> src_ip[2], p-> src_ip[3]); 
// 输 出 被 扫描 的 主机 IP 地 址 
printf(" %d. %d. %d. Sd\n",p—> dest_ip[0],p—> dest_ip[1],p—> dest_ip[2], p—> dest_ip[3]); 
} 


6. 结 点 添加 函数 


void add_host(DetectedHost * phost){ 
if (phost == NULL) 
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return; 
if(pHostlistHeader == NULL) // 原 来 的 扫描 信息 链 是 空 链 
pHostlistHeader = phost; 
elsef // 将 phost 指向 的 主机 结 点 插入 到 链表 的 首部 


phost 一 > next = pHostlistHeader; 
pHostlistHeader = phost; 

} 

return; 


7. 结 点 删除 函数 


int delete host(DetectedHost *x phost){ 
DetectedHost xp = pHostlistHeader; // 获 取 链 表 头 
证 ((phost == NULL)||(p == NULL)) 


return 0; 
if(p == phost){ // 要 删除 的 是 第 一 个 结 点 
pHostlistHeader = phost 一 > next; 
free( phost); // 释 放 删 除 结 点 的 内 存 空间 
return 1; 
. 
while (p—>next != NULL){ // 从 扫描 信息 链 的 第 二 个 结 点 开始 ,扫描 这 个 链表 
if(p->next == phost){ // 找 到 了 该 结 点 
p->next = phost ->next; // 从 链表 中 删除 该 结 点 
free(phost); // 释 放 删 除 结 点 的 内 存 空 间 
return 1; 
} 
p= p->next; // 后 移 一 个 结 点 
; 
return 0; 
} 
17.3 ”编译 及 运行 测试 
在 17. 2 节 完 成 原型 系统 的 代码 编程 和 实现 后 ,就 可 以 对 该 原型 系统 进行 测试 ,在 测试 
之 前 需要 将 源 代码 编译 成 可 执行 程序 。 
17.3.1 编译 


本 章 的 原型 系统 开发 利用 了 Libpcap 函数 库 中 的 函数 实现 IP 报 文 的 获取 ,因此 该 原型 
系统 的 编译 需要 依赖 Libpcap 函数 库 。 若 系统 中 还 没有 安装 Libpcap 库 , 在 编译 原型 系统 
对 应 的 端口 扫描 检测 程序 前 ,需要 在 网 上 下 载 该 函数 库 ,然后 进行 安装 。 具 体 的 下 载 和 安装 
方法 多 数 读 者 已 经 熟悉 ,这 里 不 再 袭 述 。 在 安装 之 后 ,就 可 以 用 gcc 编译 器 对 源 代码 进行 编 
译 ,具体 的 编译 命令 如 下 : 


gcc - o detect portscan -lpcap detect_ portscan.c 


这 里 detect_portscan. c 是 包含 17. 2 节 中 实现 代码 的 源 程序 文件 ,detect_portscan 是 希 
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望 编译 出 的 可 执行 文件 名 ,选项 -lpcap 告知 编译 器 链接 Libpacp 函数 库 。 编 译 成 功 后 ,在 当 
前 目录 下 ,可 以 看 到 该 原型 系统 的 可 执行 文件 detect_portscan。 


17.3.2 运行 与 测试 


在 编译 好 端口 扫描 检测 程序 后 ,就 可 以 进行 扫描 攻击 检测 功能 的 测试 。 为 了 顺利 完成 
该 测试 ,需要 对 网 内 主机 进行 相应 的 端口 扫描 ,这 里 可 以 采用 本 书 第 14 章 开发 的 端口 扫描 
工具 来 协助 完成 本 原型 系统 的 测试 ,也 可 以 采用 第 三 方 开 发 的 端口 扫描 软件 (如 Nmap) 来 
进行 端口 扫描 ,以 检验 本 原型 系统 的 检测 效果 。 

这 里 简单 叙述 采用 Nmap 进行 端口 扫描 的 测试 过 程 。 测 试 网 络 环境 涉及 3 台 主 机 ,其 
网 络 结构 如 图 17-2 所 示 ,网络 类 型 为 广播 式 以 太 网 。 


Hub 
| 
| 绕 主 机 被 #-| 描 主机 攻击 检测 主机 
192.168.47.8 192.168.47.240 192.168.47.183 


图 17-2 扫描 攻击 检测 测试 的 网 络 环境 
1. 全 连接 扫描 及 检测 
。 在 攻击 检测 主机 上 启动 端口 扫描 检测 程序 。 
./detect portscan 10 10 
。 在 扫描 主机 上 启动 Nmap 进行 全 连接 扫描 。 
./nmap — sT 192.168.47.240 


在 扫描 过 程 中 ,攻击 检测 主机 上 可 看 到 如 图 17-3 所 示 的 检测 结果 。 


root@lDServer:~/detect_ portscan 


文件 外 编 强 {E) 查看 人 线 浓 名 标 答 亿 帮助 他 


发 现 扫描 攻击 : 


图 17-3 全 连接 扫描 检测 结果 


2. 半 连 接 扫 描 及 检测 

。 在 攻击 检测 主机 上 启动 端口 扫描 检测 程序 。 
. /detect_portscan 10 10 

。 在 扫描 主机 上 启动 Nmap 进行 半 连 接 扫描 。 
./nmap - sS 192.168.47.240 


扫描 过 程 中 ,攻击 检测 主机 上 可 看 到 如 图 17-4 所 示 的 检测 结果 。 
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root@IDServer:~/detect portscan 


文件 刀 编辑 企 ) 查看 MVM 终 器 (TD 标 签 昌 ) 帮助 时 
[rooteIDServer detect_portscan]# gcc -0 detectportscan DetectPortscan.c -1pcap 
。 rtscan]# ./detectportscan 10 10 


图 17-4 半 连 接 扫 描 检测 结果 


17.4 扩展 开发 实践 


本 章 实现 了 一 个 针对 端口 扫描 检测 的 原型 系统 ,该 原型 系统 的 功能 相对 简单 ,只 是 对 
SYN 报 文 进行 简单 的 统计 ,并 实现 了 简单 的 告警 。 因 此 与 产品 化 的 检测 系统 相 比 ,该 原型 
系统 对 端口 扫描 检测 的 支持 无 论 是 在 准确 性 上 还 是 在 功能 性 上 都 存在 比较 大 的 扩展 余地 ， 
下 面 就 一 些 主要 的 扩展 方向 进行 讨论 ,有 兴趣 的 读者 可 以 基于 这 些 讨论 ,在 本 章 原型 系统 的 
基础 上 进行 相应 的 扩展 开发 实践 。 


17.4.1 原型 系统 的 检测 准确 性 改善 


在 统计 被 试图 连接 的 端口 数量 时 ,本 章 的 原型 系统 没有 区 分 发 送 SYN 报 文 的 源 IP 地 
址 ,这 种 做 法 在 一 定 程度 上 可 以 检测 分 布 式 的 端口 扫描 。 所 谓 的 分 布 式 扫 描 是 借助 多 个 源 
主机 发 送 SYN 报 文 完 成 扫描 ,以 使 发 出 的 端口 探测 报 文 不 引 人 注 意 ,从 而 逃 过 检测 。 但 本 
章 的 做 法 可 能 会 造成 检测 误 报 ,因为 不 能 排除 多 个 正常 的 网 络 用 户 同时 请 求 某 主 机 上 多 个 
网 络 服务 的 可 能 性 。 如 果 在 统计 SYN 报 文 时 ,考虑 和 区 分 SYN 报 文 的 源 IP 地 址 ,可 以 在 
一 定 程度 上 提高 对 端口 扫描 检测 的 准确 性 。 

本 章 的 检测 系统 只 能 检测 到 网 络 ( 或 系统 中 的 主机 ) 中 是 否 存在 全 连接 扫描 或 半 连 接 扫 
描 , 但 没有 进一步 判断 出 是 全 连接 扫描 还 是 半 连 接 扫 描 。 要 区 分 具体 的 扫描 类 型 , 除 抓 取 和 
分 析 SYN 报 文 外 ,还 需要 对 其 他 类 型 的 TCP 报 文 进行 抓 取 和 分 析 。 确 定 一 个 端口 扫描 后 ， 
区 分 扫描 类 型 的 关键 在 于 能 不 能 发 现 一 个 完整 的 TCP 协议 连接 过 程 ,如 果 发 现实 施 扫描 主 
机 和 被 扫描 主机 间 存 在 完整 的 TCP 连接 过 程 .就 可 以 认定 为 是 全 连接 端口 扫描 。 如 果 没 有 
发 现 建立 完整 的 TCP 连接 过 程 ,就 要 进一步 分 析出 导致 没有 建立 TCP 连接 的 原因 , 即 确定 
出 扫描 到 的 主机 端口 是 关闭 的 ,还 是 实施 扫描 主机 没有 回复 连接 确认 报 文 ,如 果 是 后 者 就 可 
以 断定 为 半 连 接 扫 描 。 

另外 对 一 些 典 型 网 络 中 的 SYN 报 文 发 送 情况 进行 分 析 也 有 利于 提高 端口 扫描 检测 的 
准确 性 。 比 如 内 网 中 有 一 个 FTP 服务 器 ,外 网 的 一 个 客户 端 启用 多 个 FTP 客户 端 软件 与 
该 FTP 服务 器 进行 被 动 模式 下 的 文件 下 载 和 上 传 。 本 章 开发 的 原型 系统 就 可 能 会 观察 到 
一 外 网 主机 ( 即 FTP 客户 端 ) 向 内 网 主机 ( 即 FTP 服务 器 ) 的 多 个 端口 发 送 SYN 报 文 ,因而 
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可 能 形成 扫描 攻击 误 报 。 若 在 原型 系统 基础 上 ,充分 考虑 常见 的 网 络 应 用 场景 ,就 可 判断 出 
这 些 SYN 报 文 是 否 为 正常 的 网 络 访问 ,从 而 提高 检测 准确 性 。 


17.4.2 针对 TIN 扫描 检测 扩展 


本 章 实现 的 原型 系统 只 实现 了 TCP 全 连接 和 半 连 接 扫描 的 检测 ,如 果 攻 击 者 基于 FIN 
扫描 技术 (基本 原理 可 参见 本 书 6. 3. 3 节 ) 对 目标 网 络 或 主机 展开 端口 扫描 ,本 原型 系统 就 
不 能 检测 出 该 端口 扫描 。 要 实现 对 FIN 扫描 的 检测 ,需要 对 带 FIN 标志 的 TCP 报 文 (简称 
FIN 报 文 ) 进 行 抓 取 和 分 析 , 如 果 发 现 从 一 个 源 IP 地 址 向 多 个 目标 主机 端口 发 送 大 量 的 
FIN 报 文 ,基本 可 以 认定 网 络 或 主机 正在 受到 端口 扫描 。 通 过 观察 和 分 析 SYN 报 文 ,知道 
了 当前 存在 的 TCP 连接 ,一 旦 观察 到 试图 关闭 不 存在 TCP 连接 的 FIN 报 文 ,就 可 以 直接 
断定 网 络 或 系统 受到 了 FIN 扫描 攻击 。 


17.4.3 针对 UDP 端口 扫描 检测 扩展 


如 果 攻 击 者 采用 UDP 端口 扫描 技术 来 扫描 网 络 或 主机 中 的 UDP 端口 ,本 童 实现 的 原 
型 系统 就 不 能 有 效 地 检测 出 这 类 端口 扫描 。 要 实现 对 UDP 扫描 的 检测 ,需要 对 UDP 报 文 
进行 抓 取 和 分 析 , 如 果 发 现 从 一 个 或 几 个 源 IP 地 址 向 目标 主机 多 个 UDP 端口 发 送 大 量 的 
报 文 ,基本 可 以 断定 网 络 或 主机 正在 受到 端口 扫描 攻击 。 


17.4.4 ”针对 半 连 接 攻击 的 检测 扩展 


拒绝 服务 攻击 是 黑客 最 常用 的 攻击 手段 之 一 ,拒绝 服务 攻击 针对 网 络 系统 、 主 机 、 某 种 
网 络 服务 的 可 用 性 发 起 攻击 ,其 目的 是 干扰 攻击 目标 的 正常 运行 ,甚至 使 攻击 目标 崩溃 或 竣 
痪 。 半 连接 攻击 是 一 种 最 流行 、 最 常见 的 拒绝 服务 (Denial of Service， DoS) 攻 击 方式 ,该 类 
攻击 利用 TCP 协议 的 缺陷 ,发 送 大 量 伪 造 的 带 SYN 标志 的 TCP 连接 请 求 报 文 , 使 被 攻击 
主机 的 连接 资源 耗 尽 ,从 而 无 法 再 为 正常 网 络 用 户 提供 服务 。 

通过 网 络 中 SYN 报 文 的 抓 取 和 分 析 就 能 实现 对 半 连 接 攻击 的 检测 , 半 连 接 攻击 和 端 
口 扫描 攻击 都 会 产生 大 批量 的 SYN 报 文 , 但 二 者 还 是 存在 明显 区 别 。 端 口 扫描 攻击 中 在 
一 个 较 短 的 时 间 内 会 对 某 主 机 的 多 个 或 一 大 批 端口 发 送 SYN 报 文 ,而 且 这 些 报 文 通常 为 
同一 个 源 IP 地 址 。 半 连接 攻击 发 送 的 大 批量 SYN 报 文 ,具有 相同 的 目标 地 址 和 端口 ,而 且 
这 些 报 文 是 伪造 的 , 源 IP 地 址 和 端口 可 能 是 随机 的 。 如 果 在 网 络 中 发 现 了 这 种 现象 , 即 短 
时 间 内 观测 到 大 批量 发 往 某 主机 同一 端口 的 SYN 报 文 ,而 没有 观察 到 对 应 的 连接 确认 报 
文 ( 即 第 三 次 握手 报 文 ) ,基本 可 以 认定 为 该 主机 受到 了 半 连 接 攻击 。 


17.5 本 章 小 结 


章 详 细 阐 述 了 一 个 针对 TCP 端口 扫描 检测 的 原型 系统 开发 过 程 和 实现 源 代码 ,该 原 
型 系统 可 以 对 TCP 全 连接 扫描 和 半 连 接 扫 描 这 两 种 主要 的 端口 扫描 方式 进行 检测 。 该 原 
型 系统 以 实例 的 形式 主要 展示 端口 扫描 检测 系统 的 工作 原理 ,实现 方法 和 开发 过 程 ,可 以 借 
助 该 开发 实践 来 加 深 对 端口 扫描 检测 原理 和 实现 技术 的 理解 。 
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本 章 开发 的 原型 系统 在 功能 上 比较 简单 ,判定 端口 扫描 的 依据 也 比较 原始 。 本 章 最 后 
详细 讨论 了 在 本 原型 系统 的 基础 上 所 能 进行 的 扩展 开发 实践 的 具体 目标 和 方向 ,具体 包括 
检测 准确 性 改善 .针对 FIN 扫描 的 攻击 检测 扩展 、 针 对 UDP 扫描 的 攻击 检测 扩展 以 及 半 连 
接 攻 击 检测 扩展 。 有 兴趣 的 读者 可 以 在 此 原型 系统 的 基础 上 ,按照 17.4 节 中 的 内 容 进 行 相 
应 的 扩展 开发 实践 。 


习 题 


1. 本 章 原型 系统 的 开发 实践 并 没有 区 分 一 个 扫描 是 全 连接 扫描 还 是 半 连 接 扫 描 , 简 述 
区 分 检测 这 两 类 扫描 的 基本 思路 。 

2.， 如 果 发 现 一 个 主机 向 其 他 主机 的 多 个 端口 发 送 了 带 SYN 标志 的 TCP 报 文 ,是 否 可 
以 认定 该 主机 正在 进行 端口 扫描 ? 如 果 不 能 认定 ,请 举 反例 说 明 。 

3. 如 果 网 络 中 发 现 发 往 某 主机 端口 的 大 量 SYN 报 文 ,是 否 可 以 认定 该 主机 受到 了 端 
口 扫 描 ? 如 果 不 能 认定 ,请 举 反 例 说 明 。 

4. 简 述 原型 系统 在 端口 扫描 检测 的 准确 性 上 还 存在 哪些 需要 改进 的 地 方 ,以 及 采用 何 
种 思路 实现 相应 的 改进 。 


附录 A 扩展 开发 实践 题目 汇总 


Al 基于 LSM 的 程序 运行 权限 管理 


基于 Linux 安全 模块 (LSM) 机 制 ,通过 实现 一 组 相关 的 钓 子 函数 ,对 特定 应 用 程序 的 
运行 权限 进行 限定 ,如 只 能 访问 指定 目录 下 的 文件 ,不 能 对 外 发 起 网 络 连接 等 。 本 扩展 开发 
实践 可 用 于 为 不 可 信和 或 来 历 不 明 的 程序 提供 一 个 受 限 的 、 可 控 的 程序 运行 环境 。 本 扩展 开 
发 实践 的 具体 目标 和 内 容 详 见 8. 5. 1 节 。 

本 书 第 8 章 的 开发 实践 基于 LSM 机 制 实 现 了 一 个 文件 删除 控制 的 原型 系统 ,本 扩展 
开发 实践 可 通过 扩展 该 原型 系统 来 完成 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1.2、8 章 。 


A2 基于 LSM 的 程序 完整 性 保护 


基于 Linux 安全 模块 (LSMD) 机 制 , 通 过 实现 一 组 相关 的 钩子 函数 ,对 特定 应 用 程序 的 
完整 性 进行 保护 ,具体 包括 静态 完整 性 保护 和 动态 完整 性 保护 。 前 者 主要 是 保证 应 用 程序 
的 可 执行 文件 和 相关 资源 文件 (如 配置 文件 等 ) 不 被 其 他 程序 破坏 (其 至 访问 ) ,后 者 主要 是 
保证 应 用 程序 在 其 运行 过 程 中 不 被 其 他 程序 干扰 ,如 该 应 用 程序 运行 时 的 进程 不 被 非法 终 
止 等 。 本 扩展 开发 实践 可 用 于 为 一 些 重要 程序 的 运行 提供 更 加 安全 的 执行 环境 ,其 具体 内 
容 详 见 8. 5. 2 节 。 

本 书 第 8 章 的 开发 实践 基于 LSM 机 制 实现 了 一 个 文件 删除 控制 的 原型 系统 ,本 扩展 
开发 实践 可 通过 扩展 该 原型 系统 来 完成 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1、2、8 章 。 


A3 基于 LSM 的 网 络 连 接 控制 系统 


LSM 框架 中 的 钧 子 点 不 仅 覆 盖 到 各 种 文件 操作 ,还 覆 羔 了 各 种 网 络 通信 操作 。 如 果 在 
网 络 通信 操作 相关 的 钩子 点 注册 控制 函数 ,就 能 够 实现 对 各 种 网 络 连 接 和 通信 操作 的 控制 ， 
实现 类 似 于 Windows 系统 中 个 人 防火 墙 的 大 致 功能 。 本 扩展 开发 实践 是 通过 实现 与 网 络 
通信 操作 相关 的 LSM 钩子 函数 ,从 而 对 网 络 连接 和 通信 操作 进行 控制 。 本 扩展 开发 实践 
的 具体 目标 和 内 容 详 见 8. 5. 3 节 。 

完成 该 开发 实践 的 关键 技术 在 于 LSM 模块 的 编程 。 本 书 第 8 章 的 开发 实践 基于 LSM 
机 制 实现 了 一 个 文件 删除 控制 的 原型 系统 ,本 扩展 开发 实践 可 参照 该 原型 系统 的 实现 方式 
来 完成 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1.2.8 章 。 


A4 基于 LSM 的 基本 型 文件 保险 箱 


该 开发 实践 的 开发 目标 为 借助 于 LSM 机 制 ,从 操作 系统 层面 实现 特殊 的 访问 控制 机 
制 , 即 实现 一 个 类 似 保险 箱 的 数据 保护 系统 ( 即 文件 保险 箱 )。 文 件 保险 箱 的 基本 思想 是 设 
置 一 个 文件 夹 ( 即 保险 箱 文件 夹 ) 用 作文 件 保 险 箱 的 数据 存储 ,同时 开发 一 个 保险 箱 数据 管 
理 程序 ,该 程序 用 于 实现 保险 箱 文件 的 管理 ,相当 于 文件 保险 箱 的 钥匙 ,负责 完成 相关 的 保 
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仿 箱 数据 操作 ,如 向 保险 箱 中 保存 文件 或 从 保险 箱 中 取出 文件 。 该 保险 箱 中 的 文件 对 于 保 
险 箱 数据 管理 程序 外 的 其 他 程序 都 不 可 见 。 保 险 箱 数据 管理 程序 在 启动 时 ,会 通过 相应 的 
技术 措施 验证 用 户 的 身份 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 8. 5.4 节 。 

本 书 第 8 章 的 开发 实践 基于 LSM 机 制 实现 了 一 个 文件 删除 控制 的 原型 系统 ,本 扩展 
开发 实践 可 通过 扩展 该 原型 系统 来 完成 。 相 关 原 理 ,技术 及 实现 请 参见 本 书 第 1.2、8 章 。 


AS 基于 LSM 的 系统 级 资源 访问 审计 


Linux 系统 在 进行 资源 访问 操作 时 ,LSM 框架 会 调用 注册 在 相应 位 置 点 的 钩子 函数 ， 
询问 访问 判决 。 在 本 扩展 开发 实践 的 具体 实施 上 ,可 以 在 钩子 函数 中 完成 资源 访问 上 下 文 
信息 的 收集 ,从 而 实现 一 个 系统 级 的 资源 访问 审计 系统 。 本 扩展 开发 实践 的 具体 要 求 和 内 
容 详 见 8.5.5 节 。 

完成 本 扩展 开发 实践 的 关键 技术 在 于 内 核 模 块 编程 以 及 LSM 钩子 函数 的 实现 ,本 书 
第 8 章 的 开发 实践 基于 LSM 机 制 实现 了 一 个 文件 删除 控制 的 原型 系统 。 本 扩展 开发 实践 
可 参照 该 原型 系统 的 实现 方式 来 完成 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1、2、8 章 。 


A6 基于 系统 调用 重 载 的 系统 级 资源 访问 审计 


本 扩展 开发 实践 的 目标 是 基于 系统 调用 重 载 的 方法 实现 一 个 系统 级 的 资源 访问 审计 系 
统 , 即 通过 修改 系统 调用 入口 地 址 表 , 实 现 对 系统 资源 访问 相关 系统 调用 处 理 函 数 的 重 载 ， 
在 其 中 完成 操作 上 下 文 信息 的 收集 ,从 而 实现 系统 级 的 资源 访问 审计 。 本 扩展 开发 实践 的 
具体 内 容 详 见 9.5.1 节 。 

本 书 第 9 章 实 现 了 一 个 基于 系统 调用 重 载 的 文件 操作 日 志 原 型 系统 ,本 扩展 开发 实践 
可 以 在 该 原型 系统 的 基础 上 完成 ,通过 对 该 原型 系统 进行 多 方面 的 扩展 (包括 日 志 的 范围 、 
日 志 的 详细 程度 .日志 的 灵活 性 .日 志 信 息 的 审计 处 理 等 ) 来 实现 。 相 关 原 理 、 技 术 及 实现 请 
参见 本 书 第 1、2、9 章 。 


A7 基于 系统 调用 重 载 的 程序 运行 权限 管理 


本 扩展 开发 实践 的 开发 目标 与 A1" 基 于 LSM 的 程序 运行 权限 管理 "大致 相同 , 即 对 特 
定 应 用 程序 的 运行 权限 进行 限定 ,如 只 能 访问 指定 目录 下 的 文件 ,不 能 对 外 发 起 网 络 连接 
等 ,从 而 保证 系统 在 执行 不 可 信 或 来 历 不 明 的 程序 时 ,不 至 于 对 系统 造成 严重 破坏 ; 但 本 开 
发 实践 采用 系统 调用 重 载 方 式 实现 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 9. 5.2 节 。 

本 书 第 9 章 实 现 了 一 个 基于 系统 调用 重 载 的 文件 操作 日 志 原 型 系统 。 实 际 上 在 重 载 的 
系统 调用 处 理 函 数 中 , 既 可 以 实现 相关 的 操作 日 志 , 也 可 以 进行 资源 访问 控制 ,可 借 此 完成 
本 开发 实践 中 的 程序 运行 权限 管理 。 本 扩展 开发 实践 可 参照 该 原型 系统 的 实现 技术 来 完 
成 。 相 关 原理 、 技 术 及 实现 请 参见 本 书 第 1.2、9 章 。 


A8 基于 系统 调用 重 载 的 程序 完整 性 保护 


本 扩展 开发 实践 的 开发 目标 与 A2* 基 于 LSM 的 程序 完整 性 保护 ”基本 相同 , 即 保证 应 
用 程序 所 需要 的 资源 (如 可 执行 文件 .配置 文件 等 ) 不 被 非法 删除 ,运行 过 程 不 被 其 他 程序 干 
扰 , 从 而 为 一 些 重要 程序 的 运行 提供 更 加 安全 的 执行 环境 ; 但 本 开发 实践 采用 系统 调用 重 
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载 的 方式 实现 程序 完整 性 保护 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 9.5.2 节 。 

本 书 第 9 章 实现 了 一 个 基于 系统 调用 重 载 的 文件 操作 日 志 原型 系统 。 实 际 上 在 重 载 的 
系统 调用 处 理 函 数 中 , 既 可 以 实现 相关 的 操作 日 志 , 也 可 以 进行 资源 访问 控制 ,可 借 此 完成 
本 开发 实践 中 的 程序 完整 性 保护 。 本 扩展 开发 实践 可 参照 该 原型 系统 的 实现 技术 来 完成 。 
相关 原理 技术 及 实现 请 参见 本 书 第 1、2、9 章 。 


A9 基于 系统 调用 重 载 的 网 络 连 接 控制 系统 


本 扩展 开发 实践 的 开发 目标 与 A3* 基 于 LSM 的 网 络 连 接 控制 系统 "基本 相同 , 即 对 各 
种 网 络 连 接 和 通信 操作 进行 控制 ,实现 类 似 于 Windows 系统 中 个 人 防火 墙 的 大 致 功能 。 与 
A3 中 扩展 开发 实践 不 同 的 是 ,本 扩展 开发 实践 在 实现 网 络 连 接 控 制 时 采用 的 是 系统 调用 
重 载 方式 ,而 不 是 设置 LSM 钩子 函数 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 9.5.2 节 。 

本 扩展 开发 实践 的 关键 在 于 实现 系统 调用 处 理 函 数 的 重 载 ,本 书 第 9 章 的 基于 系统 调 
用 重 载 的 文件 操作 日 志 原 型 系统 展示 了 重 载 系统 调用 处 理 函 数 的 详细 过 程 。 可 参照 该 原型 
系统 完成 本 扩展 开发 实践 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1、2、9 章 。 


A10 基于 系统 调用 重 载 的 基本 型 文件 保险 箱 


本 扩展 开发 实践 的 开发 目标 与 A4* 基 于 LSM 的 基本 型 文件 保险 箱 ” 基 本 相同 , 即 设置 
一 个 文件 夹 ( 即 保险 箱 文件 夹 ) 用 作文 件 保险 箱 的 数据 存储 ,同时 开发 一 个 保险 箱 数据 管 
理 程 序 , 实 现 保险 箱 文件 的 管理 。 保 险 箱 文件 夹 对 其 他 任何 程序 都 不 可 见 , 从 而 为 用 户 
的 重要 数据 提供 更 为 严格 的 安全 保障 。 与 A4 中 扩展 开发 实践 不 同 的 是 ,本 扩展 开发 实 
践 在 实现 文件 保险 箱 时 采用 的 是 系统 调用 重 载 方式 。 本 扩展 开发 实践 的 具体 目标 和 内 
容 详 见 9.5.2 节 。 

本 书 第 9 章 实 现 了 一 个 基于 系统 调用 重 载 的 文件 操作 日 志 原 型 系统 。 在 重 载 的 系统 调 
用 处 理 函 数 中 可 以 实现 相关 的 操作 日 志 , 也 可 以 进行 资源 访问 控制 ,可 借 此 完成 本 开发 实践 
中 的 文件 保险 箱 功 能 。 本 扩展 开发 实践 可 参照 该 原型 系统 的 实现 技术 来 完成 。 相 关 原 理 、 
技术 及 实现 请 参见 本 书 第 1.2.9 章 。 


Al1 基于 系统 调用 重 载 的 加 密 型 文件 保险 箱 


基本 型 文件 保险 箱 从 操作 系统 层面 上 保证 了 个 人 重要 数据 的 安全 性 ,但 存储 保险 箱 数 
据 文件 的 磁盘 一 旦 离开 系统 ,将 会 造成 数据 泄密 。 本 扩展 开发 实践 要 实现 一 个 加 密 型 文件 
保险 箱 ,该 保险 箱 除 实现 基本 型 文件 保险 箱 的 所 有 安全 功能 外 ,还 实现 对 保险 箱 数据 文件 的 
加 密 和 解密 ,即将 文件 放 和 到 文件 保险 箱 时 对 文件 内 容 进行 加 密 , 当 从 文件 保险 箱 中 取出 
文件 时 ,对 文件 进行 解密 以 恢复 文件 的 原始 内 容 。 在 本 扩展 开发 实践 中 ,完成 加 解密 的 
方案 有 两 种 , 即 系统 级 的 加 解密 和 应 用 级 的 加 解密 。 本 扩展 开发 实践 的 具体 目标 和 内 容 
详 见 9.5.3 节 。 

本 书 第 9 章 实现 了 一 个 基于 系统 调用 重 载 的 文件 操作 日 志 原 型 系统 。 在 重 载 的 系统 调 
用 处 理 函 数 中 ,除了 可 以 实现 相关 的 操作 日 志 、 资 源 访 问 控 制 外 ,还 可 对 访问 所 涉及 到 的 数 
据 进 行 变换 , 据 此 可 以 实现 系统 级 的 数据 加 密 和 人 解密。 在 进行 本 扩展 开发 实践 时 ,如 采用 系 
统 级 的 加 解密 方案 ,可 参照 该 原型 系统 的 实现 技术 来 完成 。 若 采用 应 用 级 加 解密 方案 ,直接 
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在 文件 保险 箱 的 管理 程序 中 实现 相应 的 数据 加 密 和 解密 即 可 。 

为 降低 实现 难度 ,可 先 完成 A10 的 扩展 开发 实践 , 即 先 实现 一 个 基于 系统 调用 重 载 的 
基本 型 文件 保险 箱 ,然后 再 在 此 基础 上 进行 本 扩展 开发 实践 。 相 关 原 理 、 技 术 及 实现 请 参见 
本 书 第 1.2、9 章 。 


Al12 基于 系统 调用 重 载 的 日 志 原 型 系统 的 移植 


本 扩展 开发 实践 的 目标 是 在 主流 的 Ubuntu 系统 (内 核 版 本 2. 6. 28 或 2. 6. 34) 中 ,实现 
一 个 基于 系统 调用 重 载 的 日 志 原 型 系统 。 本 书 第 9 章 中 的 日 志 原型 系统 是 在 Fedora Core 6 
系统 (内 核 版 本 2. 6. 18) 中 实现 ,由 于 该 原型 系统 在 内 核 有 较 多 的 编程 工作 ,因此 与 Linux 
的 内 核 版 本 存在 密切 的 关联 。 如 果 要 将 该 原型 系统 运行 在 主流 的 Ubuntu 系统 中 ,需要 进 
行 移植 。 本 扩展 开发 实践 的 关键 在 于 Netlink 机 制 在 各 操作 系统 版 本 中 的 实现 差别 很 大 ， 
原型 系统 的 移植 工作 主要 在 于 改动 Netlink 接口 的 调用 方式 ,另外 当前 目录 的 获取 方法 也 
略 有 不 同 。 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 1、2、9 章 。 


Al13 ”内核 模块 包 过 滤 防 火 墙 的 控制 功能 扩展 


第 10 章 中 实现 的 内 核 模块 包 过 滤 防 火 墙 原型 系统 ,其 报 文 过 滤 功 能 非常 有 限 , 如 控制 
规则 简单 ,只 是 依据 通信 双方 的 IP 地 址 和 端口 进行 检查 和 控制 ,并 以 几 个 简单 变量 存储 控 
制 信息 ,相当 于 只 能 支持 一 条 包 过 滤 规则 。 因 此 该 原型 系统 可 进行 以 下 方面 的 访问 控制 功 
能 扩展 : @ 检 查 和 控制 要 素 的 扩展 , 除 实 现 基 于 IP 地 址 .端口 的 检查 和 控制 外 ,还 能 基于 时 
间 段 .网 络 接口 ICMP 报 文 的 子 类 型 等 进行 报 文 的 检查 和 控制 ; @ 多 包 过 滤 规 则 的 扩展 ， 
以 表 的 形式 存储 包 过 滤 规 则 ,能够 支持 用 户 配置 多 条 包 过 滤 规 则 ,使 得 防火 墙 系统 能 够 同时 
按 多 条 包 过 滤 规 则 进行 报 文 检查 和 过 滤 控 制 ; @ 友 好 的 包 过 滤 规 则 配置 和 管理 界面 ,支持 
包 过 滤 规 则 导入 、 导 出 ,添加 编辑、 删除 等 基本 功能 。 

本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 10. 5. 1 节 , 相 关 原 理 、 技 术 及 实现 请 参见 本 书 
第 3.4.5.10 章 。 


Al14 内 核 模 块 包 过 滤 防 火 墙 原型 系统 的 移植 


本 扩展 开发 实践 的 目标 是 在 目前 主流 的 Ubuntu 系统 (内 核 版 本 2. 6. 28 或 2. 6. 34) 中 
实现 内 核 模 块 包 过 滤 防 火 墙 原型 系统 。 本 书 第 10 章 已 经 在 FC6 系统 (内 核 版 本 2. 6. 18) 中 
实现 了 一 个 内 核 模块 包 过 滤 防 火 墙 原型 系统 ,该 原型 系统 不 能 直接 运行 在 目前 主流 的 
Ubuntu 系统 中 ,需要 先进 行 相应 的 移植 工作 。 

本 书 第 10 章 在 实现 包 过 滤 防 火 墙 原型 系统 过 程 中 用 到 了 相应 的 内 核资 源 ,如 Netfilter 
框架 的 接口 .内核 的 各 种 数据 结构 定义 (如 IP 包头 、TCP 包头 等 )。 而 Linux 内 核 一 直 处 在 
发 展 过 程 中 ,其 所 支持 的 Netfilter 机 制 的 实现 也 在 不 停 地 变化 ,内 核 版 本 2. 6.18 和 2. 6. 28 
间 很 多 部 分 存在 明显 差别 。 本 扩展 开发 实践 的 关键 在 于 Netfilter 机 制 在 各 操作 系统 版 本 
上 的 实现 差别 较 大 , 且 不 同 操作 系统 版 本 中 一 些 内 核 结构 体 ( 如 struct sk_buff) 的 定义 也 有 
差别 ,需要 进行 相应 的 程序 改动 。 进 行 第 10 章 的 原型 系统 移植 时 的 主要 工作 和 注意 事项 请 
参看 10. 5. 2 节 , 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 3.4.5、10 章 。 
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A1l5 基于 Netfilter 的 网 络 加 密 通信 系统 


本 扩展 开发 实践 的 目标 是 利用 Netfilter 机 制 截获 IP 报 文 , 并 对 所 截获 的 报 文 内 容 进 
行 加 解密 变换 ,实现 一 个 应 用 层 透 明 的 网 络 数据 加 密 通 信 系 统 。 本 书 第 10 章 实 现 了 内 核 模 
块 包 过 滤 防 火 墙 原 型 系统 ,本 扩展 开发 实践 可 以 采用 与 该 原型 系统 相同 的 技术 , 即 在 
Netfilter 框架 中 注册 钩子 函数 截获 IP 数据 报 文 ,然后 对 所 截获 的 报 文 进行 数据 加 解密 处 
理 。 显 然 ,要 实现 应 用 层 透明 的 加 密 通 信 , 需 要 在 网 络 数据 发 送 端 和 网 络 数据 接收 端 同时 进 
行 相应 的 技术 开发 和 部 署 。 本 扩展 开发 实践 的 具体 开发 目标 和 开发 思路 请 参见 10. 5. 3 节 ， 
相关 原理 、 技 术 和 实现 请 参见 本 书 第 3.4.5、10 章 。 


Al16 应 用 层 包 过 滤 防火 墙 的 控制 功能 扩展 


第 11 章 中 实现 的 应 用 层 包 过 滤 防 火 墙 原型 系统 的 报 文 过 滤 功能 非常 有 限 ,如 控制 规则 
简单 ,只 是 依据 通信 双方 的 IP 地 址 和 端口 进行 检查 和 控制 , 且 以 几 个 简单 变量 存储 控制 信 
息 ,只 能 支持 一 条 包 过 滤 规 则 。 因 此 该 防火 墙 原型 系统 可 进行 以 下 方面 的 访问 控制 功能 扩 
展 : 检查 和 控制 要 素 的 扩展 , 除 实现 基于 IP 地 址 、 端 口 的 检查 和 控制 外 ,还 能 使 其 基于 时 间 
段 、 网 络 接口 ICMP 报 文 的 子 类 型 等 进行 报 文 的 检查 和 控制 ; 多 包 过 滤 规 则 的 扩展 ,以 表 
的 形式 存储 包 过 滤 规 则 ,能够 支持 用 户 配置 多 条 包 过 滤 规 则 ,使 应 用 层 包 过 滤 防 火 墙 能 够 同 
时 按 多 条 包 过 滤 规 则 进行 报 文 检查 和 过 滤 控制 ; 友好 的 包 过 滤 规 则 配置 和 管理 界面 ,支持 
包 过 滤 规 则 导入 和 导出 、` 添 加、 编辑 \ 删 除 等 基本 功能 。 本 扩展 开发 实践 的 具体 目标 和 内 容 
详 见 11. 4. 1 节 , 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、11 章 。 


Al17 应 用 层 包 过 滤 防 火 墙 的 Netlink 通信 


Linux 系统 从 2.6 版 本 内 核 开始 ,其 中 的 Netfilter 框架 以 标准 Netlink 形式 与 应 用 层 
进行 数据 交互 , Netfilter 框架 的 队列 机 制 开始 建立 在 Netlink 的 通信 方式 上 实现 。 本 书 第 
9 章 的 开发 实践 展示 了 通过 Netlink 机 制 实现 应 用 层 和 内 核 通信 的 具体 实例 , 既 包 括 内 核 
层 的 Netlink 接口 编程 ,也 包括 应 用 层 的 Netlink 接口 编程 。 直 接 通过 Netlink 机 制 实现 应 
用 层 包 过 滤 防 火 墙 , 只 需 实 现 应 用 层 的 Netlink 接口 编程 即 可 ,内 核 层 中 基于 Netlink 的 数 
据 发 送 和 接收 由 Netfilter 框架 完成 ,应 用 程序 只 要 按 Netlink 的 接口 规范 ,就 能 与 Netfilter 
框架 基于 Netlink 进行 IP 报 文 的 发 送 和 接收 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 
1 和 多 节 。 

本 扩展 开发 实践 不 使 用 Netfilter 提供 的 应 用 层 函 数 库 , 而 采用 标准 的 Netlink 通信 方 
式 实现 应 用 层 包 过 滤 防 火 墙 。 进 行 该 扩展 开发 实践 时 ,应 用 层 包 过 滤 防 火 墙 的 相关 开发 技 
术 可 以 参看 本 书 第 3.4.5、11 章 ,Netlink 的 编程 可 参见 第 9 章 。 


Al18 基于 Netfilter 的 应 用 层 网 络 加 密 通信 系统 


本 扩展 开发 实践 的 目标 是 利用 Netfilter 机 制 截获 IP 报 文 ,通过 对 所 截获 报 文 的 内 容 
进行 加 解密 变换 ,实现 一 个 应 用 层 透明 的 网 络 加 密 通 信和 系统 。 本 书 第 11 章 实现 了 一 个 应 用 
层 包 过 滤 防 火 墙 原型 系统 ,在 该 系统 中 ,Netfilter 框架 将 截获 的 IP 报 文 以 队列 方式 传递 到 
应 用 层 进行 控制 。 实 际 上 ,在 应 用 层 除 可 对 IP 报 文 进行 控制 外 ,还 可 以 对 IP 报 文 的 数据 内 
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容 进 行 加 解密 处 理 , 从 而 实现 一 个 应 用 层 透明 的 网 络 加 密 通 信 系 统 。 同 A15 的 扩展 开发 实 
践 一 样 ,实现 应 用 层 透 明 的 加 密 通 信 系 统 , 需 要 在 网 络 数据 发 送 端 和 网 络 数据 接收 端 同时 进 
行 相应 的 技术 开发 和 部 署 。 该 扩展 开发 实践 的 具体 开发 思路 请 参见 11. 4. 3 节 , 其 相关 原理 
和 实现 技术 请 参见 本 书 第 3、4、5、11 章 。 


A19 应 用 代理 防火 墙 的 控制 功能 扩展 


第 12 章 实 现 的 应 用 代理 防火 墙 ,其 控制 功能 较为 有 限 ,只 能 依据 客户 端 和 服务 器 的 地 
址 或 域名 进行 控制 ,缺乏 基于 高 层次 的 语义 信息 的 控制 ,而 且 只 能 支持 一 条 静态 的 访问 控制 
规则 。 网 络 控制 功能 扩展 具体 包括 : 访问 控制 规则 要 素 的 扩展 ,支持 基于 HTTP 协议 信息 
的 访问 控制 ,支持 用 户 身份 认证 及 相应 的 连接 控制 ; 实现 一 个 友好 的 控制 信息 配置 界面 (或 
配置 程序 ) ,可 通过 该 配置 界面 对 防火 墙 的 访问 控制 规则 进行 各 种 配置 和 动态 更 新 。 该 扩展 
开发 实践 的 具体 目标 和 内 容 详 见 12. 4. 1 节 , 其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、 
12 章 。 


A20 应 用 代理 防火 墙 的 缓存 机 制 支持 


缓存 机 制 对 于 提高 应 用 代理 防火 墙 的 性 能 和 运行 效率 具有 非常 明显 的 作用 。 缓 存 机 制 
包含 两 类 信息 的 缓存 ,一 类 是 服务 器 域名 和 IP 地 址 对 的 缓存 , 另 一 类 是 针对 URL 请 求 的 
服务 器 响应 消息 的 缓存 。 服 务 器 域名 和 IP 地 址 对 的 缓存 机 制 能 有 效 减少 应 用 代理 防火 墙 
访问 DNS 服务 器 的 频率 ,在 客户 端 频繁 访问 同一 个 服务 器 时 , 仅 需 一 次 访问 DNS 服务 器 ， 
从 而 提高 防火 墙 的 运行 效率 。 另 外 ,在 客户 端 频繁 访问 同一 个 服务 器 时 ,响应 消息 的 缓存 机 
制 也 会 极 大 提高 应 用 代理 防火 墙 的 运行 效率 。 如 果 客 户 端 对 同一 个 URL 进行 多 次 访问 ， 
应 用 代理 防火 墙 可 以 在 第 一 次 对 该 URL 进行 请 求 时 ,获得 响应 消息 后 将 响应 消息 缓存 在 
本 地 。 以 后 应 用 代理 防火 墙 再 收 到 客户 端 对 该 URL 的 请 求 时 ,无 需 再 访问 远程 服务 器 , 直 
接 将 缓存 中 的 响应 消息 回复 给 客户 端 即 可 。 

本 书 第 12 章 实现 的 应 用 代理 防火 墙 原型 系统 , 仅 对 刚 访问 过 的 远程 服务 器 的 IP 地 址 
进行 缓存 。 在 本 扩展 开发 实践 中 ,缓存 在 以 往 一 段 时 间 内 访问 过 的 所 有 服务 器 的 IP 地 址 ， 
则 可 有 效 降低 应 用 代理 防火 墙 访问 DNS 服务 器 的 频率 ,而 对 服务 器 响应 消息 的 缓存 能 进 一 
步 提高 该 原型 系统 的 运行 效率 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 12. 4.2 节 , 相 关 原 
理 、 技 术 及 实现 请 参见 本 书 第 3.4.5、12 章 。 


A21 应 用 代理 防火 墙 的 消息 变换 功能 扩展 


一 些 企 事业 单位 使 用 的 代理 防火 墙 具 有 消息 变换 的 功能 ,代理 防火 墙 中 的 消息 变换 一 
般 分 为 两 种 形式 。 一 种 是 请 求 消息 的 变换 , 即 代理 防火 墙 为 了 某 种 应 用 目的 ,修改 来 自 客户 
端的 请 求 消息 ,将 修改 后 的 请 求 消息 发 给 目标 服务 器 。 最 常见 和 常用 的 请 求 消息 变换 方式 
是 URL 的 重 定向 , 即 自 改 客户 端 请 求 的 URL, 相 当 于 将 客户 端的 请 求 重 定向 到 新 的 URL。 
另 一 种 是 响应 消息 的 变换 ,即将 服务 器 返回 的 响应 消息 按照 某 种 约定 的 要 求 进行 修改 ,将 修 
改 后 的 响应 消息 返回 给 客户 端 。 响 应 消息 变换 功能 的 典型 应 用 是 网 页 广告 的 植 人 。 本 扩展 
开发 实践 的 具体 目标 和 内 容 详 见 12. 4. 3 节 , 其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、 
12 章 。 
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A22 应 用 代理 防火 墙 的 审计 功能 扩展 


实际 的 应 用 代理 防火 墙 通常 具有 完善 的 日 志 功 能 ,该 功能 是 安全 管理 的 重要 内 容 ,产品 
化 的 防火 墙 多 数 都 基于 日 志 信 息 实现 了 功能 强大 的 审计 功能 。 本 书 第 12 章 的 应 用 代理 防 
火 墙 原型 系统 在 实现 过 程 中 没有 考虑 对 日 志 功 能 的 支持 ,更 没有 考虑 基于 日 志 信息 的 审计 
功能 。 本 扩展 开发 实践 的 主要 内 容 包 含 三 方面 : 对 所 代理 的 应 用 连接 (包括 拒绝 的 网 络 连 
接 ) 的 相关 信息 进行 详细 的 记录 ; 设计 和 实现 相应 的 日 志 管理 工具 ,完成 日 志 数 据 的 浏览 、 
查询 等 功能 ; 实现 日 志 信息 的 初步 分 析 , 对 可 疑 连接 提醒 管理 员 等 。 本 扩展 开发 实践 的 具 
体 目标 和 内 容 详 见 12. 4.4 节 , 其 相关 原理 ,技术 及 实现 请 参见 本 书 第 3.4.5、12 章 。 


A23 应 用 代理 防火 墙 的 FTP 支持 扩展 


第 12 章 开 发 的 应 用 代理 防火 墙 只 能 对 HTTP 应 用 提供 代理 功能 ,对 其 他 的 网 络 应 用 
(如 FTP、EMAIL 等 ) 不 能 提供 代理 支持 。 支 持 FTP 协议 的 应 用 代理 防火 墙 的 主要 任务 是 
分 析 FTP 服务 器 和 客户 端 交互 的 协议 数据 ,并 根据 分 析出 的 各 个 协议 要 素 进 行 检查 和 控 
制 。 常 见 的 安全 检查 和 控制 要 素 包括 : 客户 端 和 服务 器 的 位 置 (IP 地 址 等 ). 认 证 信息 (用 户 
名 和 口令 等 ) ,传输 文件 名 (或 目录 名 ) ,传输 的 文件 类 型 .文件 大 小 等 。 本 扩展 开发 实践 的 具 
体 目 标 和 内 容 详 见 12. 4. 5 节 , 其 相关 原理 ,技术 及 实现 请 参见 本 书 第 3、4、5、12 章 。 


A24 ”透明 代理 防火 墙 的 多 规则 支持 和 动态 配置 扩展 


在 第 13 章 的 透明 代理 防火 墙 原型 系统 中 ,以 单个 全 局 变量 而 不 是 用 一 张 表 (或 一 个 配 
置 文件 ) 来 存储 允许 访问 的 客户 端 IP 地 址 和 服务 器 域名 ,不 能 设置 多 个 客户 端 IP 地 址 和 服 
务 器 域名 ,也 无 法 实现 控制 规则 的 动态 设置 。 本 扩展 开发 实践 的 具体 内 容 包括 : 实现 一 个 
友好 的 控制 规则 配置 界面 (或 配置 程序 ) ,可 通过 该 配置 界面 实现 对 防火 墙 多 条 访问 控制 规 
则 的 配置 ; 实现 配置 规则 的 文件 (或 数据 库 ) 保 存 , 这 样 每 次 不 用 全 新 配置 控制 规则 ,只 需要 
在 原 有 的 控制 规则 上 进行 适当 修改 即 可 ; 实现 防火 墙 的 动态 配置 更 新 , 即 配置 防火 墙 规则 
时 ,无 需 暂 停 或 终止 防火 墙 的 运行 。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 13. 5. 1 节 , 其 
相关 原理 ,技术 及 实现 请 参见 本 书 第 3、4、5、13 章 。 


A25 透明 代理 防火 墙 的 HTTP 协议 解析 与 控制 扩展 


本 书 第 13 章 实 现 的 透明 代理 防火 墙 没 有 对 应 用 层 协 议 的 数据 内 容 进行 分 析 和 控制 ,如 
要 实现 对 HTTP 协议 的 控制 ,需要 在 此 原型 系统 基础 上 进行 扩展 开发 。 本 扩展 开发 实践 涉 
及 到 对 HTTP 消息 内 容 的 分 析 和 控制 ,具体 控制 内 容 包 括 : 依据 不 同 的 请 求 方法 进行 控 
制 ; 对 所 请 求 URL 的 过 滤 和 控制 ; 对 响应 消息 的 内 容 类 型 进行 控制 (如 禁止 applet 下 载 
等 )。 本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 13. 5. 2 节 , 其 相关 原理 ,技术 及 实现 请 参见 本 
书 第 3、4、5、13 章 。 


A26 ”透明 代理 防火 墙 的 FTP 协议 解析 与 控制 扩展 


本 扩展 开发 实践 的 目标 是 实现 一 个 能 对 FTP 协议 进行 针对 性 控制 的 透明 代理 防火 墙 ， 
该 防火 墙 的 主要 任务 是 分 析 FTP 服务 器 和 客户 端 交互 的 协议 数据 ,并 根据 分 析出 的 各 个 要 
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素 进 行 相应 的 检查 和 控制 。 常 见 的 安全 检查 和 控制 要 素 包 括 : 客户 机 和 服务 器 的 位 置 (IP 
地 址 等 ) ,认证 信息 (用 户 名 和 口令 等 ) ,传输 文件 名 (或 目录 名 ) ,传输 的 文件 类 型 .文件 大 小 
等 。 本 扩展 开发 实践 可 以 在 第 13 章 的 透明 代理 防火 墙 原型 系统 基础 上 进行 ,其 具体 目标 和 
内 容 详 见 13. 5. 3 节 , 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、13 章 。 


A27 透明 代理 防火 墙 的 网 页 缓存 扩展 


实际 的 Web 代理 服务 器 为 提高 客户 端 访 问 网 页 的 速度 ,通常 会 对 目标 服务 器 的 响应 消 
息 ( 网 页 等 ) 进 行 缓存 ,这 样 客户 端 对 同一 个 URL 进行 频繁 访问 时 ,会 极 大 提高 代理 服务 器 
的 运行 效率 。 本 扩展 开发 实践 的 主要 任务 是 实现 网 页 缓存 机 制 ,这 需要 对 HTTP 协议 进行 
解析 ,以 分 析出 相应 的 URL 以 及 响应 消息 的 具体 内 容 等 。 本 扩展 开发 实践 可 在 第 13 章 的 
透明 代理 防火 墙 原型 系统 基础 上 进行 ,其 具体 目标 和 内 容 详 见 13. 5.4 节 , 相 关 原 理 、 技 术 及 
实现 请 参见 本 书 第 3、4、5、13 章 。 


A28 透明 代理 防火 墙 的 HTTP 消息 变换 扩展 


本 扩展 开发 实践 的 主要 任务 是 在 透明 代理 防火 墙 中 实现 HTTP 消息 变换 的 功能 。 消 
息 变换 一 般 分 为 两 种 形式 ,一 种 是 请 求 消息 的 变换 , 即 代理 防火 墙 为 了 某 种 应 用 目的 ,修改 
来 自 客户 端的 请 求 消息 ,将 修改 后 的 请 求 消息 发 给 目标 服务 器 。 最 常见 和 常用 的 请 求 消息 
修改 方式 是 URL 的 重 定向 , 即 算 改 客户 端 请 求 的 URL, 相 当 于 将 客户 端的 请 求 重 定向 到 新 
的 URL。 另 一 种 是 响应 消息 的 变换 ,即将 目标 服务 器 返回 的 响应 消息 按照 某 种 约定 进行 修 
改 , 将 修改 后 的 响应 消息 返回 给 客户 端 。 这 种 响应 消息 变换 功能 的 典型 应 用 是 网 页 广告 的 
植 人 。 本 扩展 开发 实践 需要 在 第 13 章 的 透明 代理 防火 墙 原型 系统 基础 上 进行 ,其 具体 目标 
和 内 容 详 见 13. 5. 5 节 , 相 关 原 理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、13 章 。 


A29 UDP 扫描 扩展 实现 


要 对 目标 主机 的 UDP 端口 进行 扫描 ,需要 向 目标 主机 的 端口 发 送 UDP 探测 包 。 与 
TCP 扫描 返回 TCP 报 文 不 同 ,UDP 端口 扫描 中 被 扫描 的 目标 主机 返回 的 是 ICMP 类 型 的 
报 文 ,而 这 些 ICMP 类 型 的 报 文 一 般 不 能 通过 正常 的 协议 处 理 到 达 应 用 层 。 要 获得 这 些 扫 
描 响 应 的 ICMP 报 文 ,需要 采用 原始 套 接 字 编 程 , 或 者 调用 Libpcap 库 函 数 。 本 书 第 14 章 
实现 了 半 连 接 扫描 和 FIN 扫描 ,其 中 完整 展示 了 如 何 利 用 Libpcap 库 函 数 来 操纵 TCP/IP 
底层 协议 处 理 。 本 扩展 开发 实践 可 以 借鉴 第 14 章 的 端口 扫描 技术 来 实现 ,该 开发 实践 的 具 
体 目标 和 内 容 详 见 14. 4. 1 节 , 其 相关 原理 ,技术 及 实现 请 参见 本 书 第 6、14 章 。 


A30 ”全 连接 扫描 的 多 线程 扩展 


全 连接 扫描 通过 SOCKET 接口 函数 connect() 调 用 是 否 成 功 建立 TCP 链接 ,来 判断 被 
扫描 主机 的 端口 打开 情况 。 发 送 端 在 发 送 SYN 报 文 试图 与 对 方 建立 TCP 链接 后 ,即使 暂 
时 收 不 到 对 方 发 送 的 回复 报 文 (甚至 对 方 主机 不 存在 或 端口 没 打开 等 ) ,发 送 端的 TCP 协议 
也 会 等 待 一 段 时 间 才 会 认定 对 方 没 有 回复 报 文 , 并 向 应 用 层 返 回 连接 建立 不 成 功 , 以 应 对 报 
文 传输 过 程 中 的 网 络 延 迟 。 本 书 第 14 章 的 原型 工具 采用 单线 程 模式 来 实现 端口 扫描 ,如 果 
扫描 的 端口 范围 比较 大 ,而 且 所 扫描 到 的 端口 大 都 是 关闭 的 (事实 上 一 主机 开放 的 端口 要 远 
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少 于 关闭 端口 ) ,扫描 的 时 间 就 会 比较 长 。 提 高 扫描 效率 的 基本 方法 是 创建 多 个 线程 对 端口 
同时 进行 扫描 ,将 要 扫描 的 端口 平均 分 配给 每 个 线程 ,因此 扫描 所 用 的 时 间 会 呈 比 例 缩 减 ， 
从 而 大 幅度 提高 端口 扫描 的 效率 。 本 扩展 开发 实践 可 在 第 14 章 的 原型 工具 基础 上 完成 ,其 
具体 目标 和 内 容 详 见 14. 4. 2 节 ,相关 原理 、 技 术 及 实现 请 参见 本 书 第 6、14 章 。 


A31 端口 扫描 原型 工具 的 功能 扩展 


本 书 第 14 章 开 发 的 原型 工具 只 能 对 指定 主机 的 端口 范围 进行 扫描 ,不 能 对 一 个 指定 的 
网 段 进行 扫描 , 且 只 对 端口 开放 情况 进行 扫描 。 在 该 原型 工具 基础 上 所 能 扩展 的 具体 功能 
包括 以 下 方面 : 网 段 扫描 ,在 对 网 段 进行 扫描 时 ,最 好 能 够 用 ping 等 技术 手段 确定 要 扫 
描 的 IP 地 址 是 否 对 应 实际 的 机 器 ,这 样 既 可 以 提高 扫描 的 准确 性 ,也 可 以 加 快 扫描 的 速度 ; 
@ 高 级 信息 扫描 功能 ,不 同 种 类 操作 系统 在 TCP/IP 协议 实现 和 应 用 服务 配置 方面 存在 一 
些 细 微 的 差别 , 据 此 一 个 端口 扫描 工具 还 可 以 对 目标 主机 的 软件 配置 信息 进行 扫描 ,包括 操 
作 系 统 类 型 及 版 本 、 数 据 库 软件 及 版 本 等 ,这 些 高 级 信息 扫描 有 助 于 发 现 更 多 的 安全 脆 
弱 性 。 

本 扩展 开发 实践 的 具体 目标 和 内 容 详 见 14. 4. 3 节 , 该 开发 实践 可 在 本 书 第 14 章 的 原 
型 工具 基础 上 完成 ,其 相关 原理 ,技术 及 实现 请 参见 本 书 第 6、14 章 。 


A32” 弱 口令 扫描 的 功能 增强 扩展 


本 书 第 15 章 实现 的 弱 口 令 扫 描 工 具 只 能 实现 单个 词 条 的 匹配 ,如 果 一 个 口令 经 过 了 词 
条 变种 ,该 工具 就 不 能 成 功 检测 出 该 口令 。 常 见 的 词 条 变种 方式 包括 : 四 两 个 词 条 连接 在 
一 起 作为 用 户口 令 ,常见 的 是 一 个 单词 重复 两 次 作为 用 户口 令 ,如 prettypretty; 四 单词 中 
的 某 个 字母 大 写 后 作为 用 户口 令 , 通 常 是 首 字母 大 写 ,如 Pretty; @ 单 词 后 面 加 一 个 或 两 个 
数字 字符 作为 用 户口 令 , 如 prettyll \pretty12。 本 扩展 开发 实践 对 弱 口令 扫描 功能 进行 增 
强 ,以 支持 对 词 条 变种 的 弱 口 令 扫描 。 该 开发 实践 可 在 本 书 第 15 章 的 原型 工具 基础 上 完 
成 ,其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 6、15 章 。 


A33 针对 Windows 系统 的 弱 口 令 扫 描 实现 


本 书 第 15 章 实现 的 弱 口 令 扫描 工具 只 能 对 Linux 的 口令 系统 进行 弱 口 令 检 测 ,由 于 加 
密 方式 的 区 别 ,该 弱 口 令 扫 描 工 具 无 法 实现 对 Windows 口令 系统 的 弱 口 令 扫描 。Windows 
NT 及 Windows 2000 中 对 用 户 帐户 的 安全 管理 使 用 了 安全 帐号 管理 器 (Security Account 
Manager,SAM) 机 制 ,系统 中 的 sam 文件 是 Windows NT 的 用 户 帐 户 数据 库 , 所 有 
Windows NT 用 户 的 帐号 及 口令 等 相关 信息 都 会 保存 在 这 个 文件 中 。 实 现 Windows 系统 
的 弱 口 令 扫描 ,主要 涉及 到 对 sam 文件 的 解析 和 访问 。 本 扩展 开发 实践 可 在 本 书 第 15 章 
的 原型 工具 基础 上 完成 ,其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 6、15 章 。 


A34 基于 特征 串 匹 配 的 攻击 检测 原型 系统 的 抗 逃 避 检 测 扩展 


本 书 第 16 章 的 原型 系统 对 单个 IP 数据 包 独 立 进行 攻击 特征 串 的 匹配 ,并 以 此 进行 攻 
击 检测 和 告警 ,因而 不 能 成 功 检 测 出 一 些 跨 IP 数据 包 的 特征 串 。 要 实现 攻击 检测 系统 的 抗 
逃避 能 力 ,在 进行 攻击 特征 串 匹 配 时 ,需要 对 IP 报 文 应 用 层 数据 进行 重组 ,通过 对 重组 后 的 
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应 用 层 数据 进行 特征 串 匹 配 ,来 发 现 跨 IP 数据 包 的 特征 串 及 可 能 存在 的 网 络 攻击 。 通 常 报 
文 数据 的 重组 涉及 到 两 个 协议 层次 : IP 协议 层 的 IP 分 片 重组 和 TCP 协议 层 的 数据 重组 ， 
然后 在 重组 后 的 数据 中 搜索 特征 串 就 能 检测 出 跨 IP 数据 包 的 攻击 特征 串 及 可 能 形成 的 网 
络 攻 击 。 该 扩展 开发 实践 可 在 第 16 章 的 开发 实践 基础 上 完成 ,其 相关 原理 、 技 术 及 实现 请 
参见 本 书 第 7、16 章 。 


A35 ”基于 特征 串 匹 配 的 攻击 检测 原型 系统 的 特征 串 匹 配 算法 改进 


本 书 第 16 章 实现 的 原型 系统 采用 最 简单 的 特征 串 匹 配 算法 来 检测 数据 包 中 是 否 包含 
攻击 特征 串 ,该 特征 串 匹 配 算法 具有 很 高 的 时 间 复 杂 度 ,即使 在 百 兆 的 局 域 网 环境 中 ,攻击 
检测 系统 也 来 不 及 对 所 抓 取 的 所 有 网 络 数据 报 文 进行 特征 串 匹 配 。 产 品 化 的 入 侵 检测 系统 
通常 采用 AC、BM 等 匹配 算法 来 提高 特征 串 的 检索 效率 ,利用 这 些 算法 来 搜索 数据 包 中 是 
否 包含 攻击 特征 串 , 可 以 大 幅度 提高 原型 系统 的 运行 效率 。 该 扩展 开发 实践 可 在 第 16 章 的 
开发 实践 基础 上 完成 ,其 相关 原理 ,技术 及 实现 请 参见 本 书 第 7、16 章 。 


A36 ”基于 特征 串 匹配 的 攻击 检测 原型 系统 的 检测 准确 性 扩展 


本 书 第 16 章 的 原型 系统 实现 过 程 中 ,只 要 在 网 络 报 文中 发 现 含 有 攻击 特征 串 就 被 认定 
为 检测 到 了 相应 类 型 的 网 络 攻击 ,这 种 简单 的 攻击 判定 方式 可 能 会 带 来 攻击 误 报 。 在 网 络 
报 文中 发 现 攻 击 特征 串 而 没有 发 生 网 络 攻击 的 常见 情况 有 : 四 内 网 用 户 检 索 和 下 载 介绍 特 
征 串 攻击 技术 的 相关 网 页 时 ,网 络 中 可 能 会 检测 到 包含 攻击 特征 串 的 网 络 报 文 , 因 为 这 些 网 
页 制作 者 可 能 会 列举 一 些 攻击 特征 串 的 例子 来 说 明基 于 特征 串 攻击 的 原理 和 概念 ; @ 内 网 
用 户 通过 FTP 的 方式 从 远程 服务 器 下 载 包含 攻击 特征 串 的 一 些 文件 ,如 介绍 特征 串 攻击 原 
理 的 书籍 文件 .相关 的 软件 工具 等 。 在 原型 系统 中 对 网 络 报 文 进一步 分 析 就 可 以 排除 这 些 
攻击 误 报 。 本 扩展 开发 实践 可 在 第 16 章 的 原型 系统 基础 上 完成 ,其 相关 原理 、 技 术 及 实现 
请 参见 本 书 第 7、16 章 。 


A37 ”端口 扫描 检测 原型 系统 的 检测 准确 性 改善 


本 书 第 17 章 实 现 的 原型 系统 在 功能 上 比较 简单 ,判定 端口 扫描 的 依据 也 比较 原始 和 
“草率 ”。 扩 展开 发 的 主要 方面 包括 : 检测 分 布 式 的 端口 扫描 ; @ 区 分 具体 的 扫描 类 型 ， 
进一步 判断 出 是 全 连接 扫描 还 是 半 连 接 扫 描 ; @ 在 原型 系统 基础 上 ,充分 考虑 常见 的 网 络 
应 用 场景 (如 SYN 报 文 发 送 情 况 ) ,进一步 判断 出 SYN 报 文 是 否 是 正常 的 网 络 访问 ,从 而 
提高 检测 精度 。 本 扩展 开发 实践 可 在 第 17 章 的 原型 系统 基础 上 完成 ,其 相关 原理 .技术 及 
实现 请 参见 本 书 第 7、17 章 。 


A38 ”针对 FIN 扫描 检测 扩展 


本 书 第 17 章 的 原型 系统 只 实现 了 对 TCP 全 连接 扫描 和 半 连 接 扫描 的 检测 ,如 果 攻 击 
者 基于 FIN 扫描 技术 对 目标 网 络 或 主机 展开 端口 扫描 ,本 原型 系统 就 不 能 检测 出 该 扫描 。 
要 实现 对 FIN 扫描 的 检测 ,需要 对 带 FIN 标志 的 TCP 报 文 (简称 FIN 报 文 ) 进 行 抓 取 和 分 
析 , 如 果 发 现 从 一 个 源 IP 地 址 向 多 个 目标 主机 端口 发 送 大 量 的 FIN 报 文 ,基本 可 以 认定 网 
络 或 主机 正在 受到 端口 扫描 攻击 。 通 过 观察 和 分 析 SYN 报 文 ,知道 当前 存在 的 TCP 链接 ， 
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一 旦 观察 到 试图 关闭 不 存在 TCP 链接 的 FIN 报 文 ,就 可 以 断定 网 络 或 主机 受到 了 FIN 扫 
描 攻击 。 本 扩展 开发 实践 可 在 第 17 章 的 原型 系统 基础 上 完成 ,其 相关 原理 ,技术 及 实现 请 
参见 本 书 第 7、17 章 。 


A39 针对 UDP 端口 扫描 检测 扩展 


本 书 第 17 章 的 原型 系统 只 实现 了 对 TCP 全 连接 和 半 连 接 扫描 的 检测 ,如果 攻击 者 采 
用 UDP 端口 扫描 技术 来 扫描 网 络 或 主机 中 的 UDP 端口 ,该 原型 系统 就 不 能 有 效 地 检测 出 
这 类 端口 扫描 。 要 实现 对 UDP 端口 扫描 的 检测 ,需要 对 UDP 报 文 进行 抓 取 和 分 析 , 如 果 
发 现 从 一 个 或 几 个 源 IP 地 址 向 目标 主机 多 个 UDP 端口 发 送 大 量 的 报 文 ,基本 可 以 断定 网 
络 或 主机 正在 受到 UDP 端口 扫描 攻击 。 本 扩展 开发 实践 可 在 第 17 章 的 原型 系统 基础 上 完 
成 ,其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 7.17 章 。 


A40 针对 半 连 接 攻 击 的 检测 扩展 


本 书 第 17 章 的 原型 系统 只 实现 了 对 TCP 全 连接 和 半 连 接 扫描 的 检测 ,实际 上 通过 网 
络 中 SYN 报 文 的 抓 取 和 分 析 也 能 实现 对 半 连 接 攻击 的 检测 。 半 连接 攻击 和 端口 扫描 都 会 
产生 大 批量 的 SYN 报 文 ,但 二 者 存在 明显 区 别 。 端 口 扫描 攻击 中 ,在 一 个 较 短 的 时 间 内 会 
对 某 主机 的 多 个 或 一 大 批 端口 发 送 SYN 报 文 ,而 且 这 些 报 文通 常 为 同一 个 源 IP 地 址 。 半 
连接 攻击 发 送 的 大 批量 SYN 报 文具 有 相同 的 目标 IP 地 址 和 目标 端口 ,而 且 这 些 报 文 是 伪 
造 的 , 源 IP 地 址 和 源 端 口 可 能 是 随机 的 ,如 果 在 网 络 中 发 现 了 这 种 现象 , 即 短 时 间 内 观测 到 
大 批量 发 往 某 主机 同一 端口 的 SYN 报 文 ,而 没有 观察 到 对 应 的 连接 确认 报 文 ( 即 第 三 次 握 
手 报 文 ) ,基本 可 以 认定 该 主机 受到 了 半 连 接 攻击 。 本 扩展 开发 实践 可 在 第 17 章 的 原型 系 
统 基础 上 完成 ,其 相关 原理 ,技术 及 实现 请 参见 本 书 第 7、17 章 。 


A41 内 核 模块 包 过 滤 防 火 墙 的 攻击 检测 功能 扩展 


一 些 产品 化 的 网 络 防火 墙 除了 能 够 按照 包 过 滤 规 则 进行 IP 报 文 的 控制 外 ,还 具有 一 定 
的 攻击 检测 能 力 ,如 检测 端口 扫描 攻击 、 半 连接 攻击 等 。 本 书 第 10 章 实 现 的 内 核 模块 包 过 
滤 防 火 墙 原型 系统 没有 包含 攻击 检测 功能 ,而 第 17 童 的 开发 实践 详细 阐述 一 个 端口 扫描 攻 
击 检测 的 实现 过 程 。 由 于 内 核 模块 包 过 滤 防 火 墙 中 已 经 实现 了 各 种 IP 报 文 (包括 SYN 报 
文 ) 的 获取 ,因此 可 将 端口 扫描 攻击 检测 功能 集成 到 内 核 模 块 包 过 滤 防 火 墙 中 实现 ,开发 一 
个 具有 端口 扫描 检测 能 力 的 内 核 模块 包 过 滤 防 火 墙 。 本 扩展 开发 实践 可 在 第 10、17 章 的 开 
发 实践 基础 上 完成 ,其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、7、10、17 章 。 


A42 应 用 层 包 过 滤 防火 墙 的 攻击 检测 功能 扩展 


本 书 第 11 章 实现 的 应 用 层 包 过 滤 防 火 墙 中 能 获取 各 种 IP 数据 包 , 但 没有 对 可 能 包含 
的 攻击 进行 检测 ,而 第 17 章 的 开发 实践 详细 曾 述 一 个 端口 扫描 攻击 检测 的 实现 过 程 。 因 此 
也 可 像 A41 的 扩展 开发 实践 一 样 ,将 端口 扫描 攻击 检测 功能 集成 到 应 用 层 包 过 滤 防 火 墙 中 
实现 ,开发 一 个 具有 端口 扫描 检测 能 力 的 应 用 层 包 过 滤 防 火 墙 。 本 扩展 开发 实践 可 在 第 
11、17 章 的 开发 实践 基础 上 完成 ,其 相关 原理 、 技 术 及 实现 请 参见 本 书 第 3、4、5、7、11、 
17 章 。 


wong 
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图 书简 介 ， 

Dreamweaver 8、Fireworks 8 和 Flash 8 是 Macromedia 公司 为 网 页 制作 人 员 研 制 的 新 一 代 网 页 设计 软件 ,被 称 为 
网 页 制作 “三 剑客 ”。 它 们 在 专业 网 页 制作 、 网 页 图 形 处 理 \ 矢 量 动画 以 及 Web 编程 等 领域 中 占有 十 分 重要 的 地 位 。 

本 书 共 11 章 ,从 基础 网 络 知 识 出 发 ,从 网 站 规划 开始 ,重点 介绍 了 使 用 “网 页 三 剑客 ” 制 
作 网 页 的 方法 。 内 容 包 括 了 网 页 设计 基础 .HTML 语言 基础 ,使 用 Dreamweaver 8 管理 站 
点 和 制作 网 页 ,使 用 Fireworks 8 处 理 网 页 图 像 、 使 用 Flash 8 制作 动画 ,动态 交互 式 网 页 的 
制作 ,以 及 网 站 制作 的 综合 应 用 。 用 

本 书 遵循 循序 渐进 的 原则 ,通过 实例 结合 基础 知识 讲解 的 方法 介绍 了 网 页 设计 与 制作 Ed 
的 基础 知识 和 基本 操作 技能 ,在 每 章 的 后 面 都 提供 了 配套 的 习题 。 

为 了 方便 教学 和 读者 上 机 操作 练习 ,作者 还 编写 了 《网 页 设计 与 制作 实践 教程 ) 一 书 ,作为 
与 本 书 配套 的 实验 教材 。 另 外 ,还 有 与 本 书 配套 的 电子 课件 , 供 教师 教学 参考 。 

本 书 适合 应 用 型 本 科 院 校 ,高 职高 专 院 校 作为 教材 使 用 ,也 可 作为 自学 网 页 制作 技术 
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的 教材 使 用 。 
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